McAfee Host Intrusion Prevention 8.0 Produkthandbuch zur Verwendung mit ePolicy Orchestrator 4.5 COPYRIGHT Copyright © 2010 McAfee, Inc. Alle Rechte vorbehalten. Diese Publikation darf in keiner Form und in keiner Weise ohne die schriftliche Genehmigung von McAfee, Inc., oder ihren Lieferanten und angeschlossenen Unternehmen ganz oder teilweise reproduziert, übermittelt, übertragen, in einem Abrufsystem gespeichert oder in eine andere Sprache übersetzt werden. MARKEN AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN, WEBSHIELD sind eingetragene Marken oder Marken von McAfee, Inc. und/oder der Tochterunternehmen in den USA und/oder anderen Ländern. Die Farbe Rot in Verbindung mit Sicherheit ist ein Merkmal der McAfee-Produkte. Alle anderen eingetragenen und nicht eingetragenen Marken in diesem Dokument sind alleiniges Eigentum der jeweiligen Besitzer. INFORMATIONEN ZUR LIZENZ Lizenzvereinbarung HINWEIS FÜR ALLE BENUTZER: LESEN SIE DEN LIZENZVERTRAG FÜR DIE VON IHNEN ERWORBENE SOFTWARE SORGFÄLTIG DURCH. ER ENTHÄLT DIE ALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN FÜR DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE. WENN SIE NICHT WISSEN, WELCHEN SOFTWARE-LIZENZTYP SIE ERWORBEN HABEN, SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITEREN UNTERLAGEN BEZÜGLICH DER LIZENZGEWÄHRUNG ODER DEN BESTELLUNTERLAGEN NACH, DIE SIE ZUSAMMEN MIT DEM SOFTWAREPAKET ODER SEPARAT (ALS BROSCHÜRE, DATEI AUF DER PRODUKT-CD ODER ALS DATEI, DIE AUF DER WEBSEITE VERFÜGBAR IST, VON DER SIE AUCH DAS SOFTWAREPAKET HERUNTERGELADEN HABEN) ERHALTEN HABEN. WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEFÜHRTEN BESTIMMUNGEN NICHT EINVERSTANDEN SIND, UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE. SOFERN MÖGLICH, GEBEN SIE DAS PRODUKT AN MCAFEE ODER IHREN HÄNDLER BEI VOLLER RÜCKERSTATTUNG DES KAUFPREISES ZURÜCK. 2 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Inhaltsverzeichnis Über Host Intrusion Prevention. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Host IPS-Schutz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Host IPS-Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Host IPS-Richtlinienverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Host IPS-Richtliniennachverfolgung und Abstimmung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Verwalten Ihres Schutzes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Informationsverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Host IPS-Dashboards. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Host IPS-Abfragen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Richtlinienverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Suchen von Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Konfigurieren von Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Standardschutz und Optimierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Host IPS-Richtlinienmigration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Systemverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Host IPS-Berechtigungssätze. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Host IPS-Server-Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Host IPS-Ereignisreaktionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Aktualisierungen des Host IPS-Schutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 Konfigurieren von IPS-Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Übersicht der IPS-Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Verfahren zur Bereitstellung von IPS-Schutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 Signaturen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 Verhaltensregeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 Reaktionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 Ausnahmen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Anwendungsschutzregeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Ereignisse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Aktivieren des IPS-Schutzes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Konfigurieren der Richtlinie für IPS-Optionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 Festlegen der Reaktion auf IPS-Signaturen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 3 Inhaltsverzeichnis Konfigurieren der Richtlinie für den IPS-Schutz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 Festlegen des IPS-Schutzes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 Konfigurieren der Richtlinie für IPS-Regeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Zuweisen mehrerer Instanzen der Richtlinie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Häufig gestellte Fragen: Richtlinien mit mehreren Instanzen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Funktionsweise von IPS-Signaturen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 Funktionsweise von IPS-Anwendungsschutzregeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Funktionsweise von IPS-Ausnahmen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Überwachen von IPS-Ereignissen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Verwalten von IPS-Ereignissen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 Erstellen von Ausnahmen anhand von Ereignissen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Erstellen vertrauenswürdiger Anwendungen aus Ereignissen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Überwachen von IPS-Client-Regeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 Verwalten von IPS-Client-Regeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 Konfigurieren von Firewall-Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Übersicht der Firewall-Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Funktionsweise von Firewall-Regeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Funktionsweise von Firewall-Regelgruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Funktionsweise des Host IPS-Katalogs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Statusbehaftete Firewall-Paketfilterung und -prüfung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 Auswirkungen des Lernmodus und des adaptiven Modus auf die Firewall. . . . . . . . . . . . . . . . . . . . . 73 Firewall-Client-Regeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 Aktivieren des Firewall-Schutzes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 Konfigurieren der Richtlinie für Firewall-Optionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 Häufig gestellte Fragen – McAfee TrustedSource und die Firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Definieren des Firewall-Schutzes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 Konfigurieren der Richtlinie für Firewall-Regeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Erstellen und Bearbeiten von Firewall-Regeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 Erstellen und Bearbeiten von Firewall-Regelgruppen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 Erstellen von Konnektivitätsisolationsgruppen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Blockieren des DNS-Datenverkehrs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 Verwenden des Host IPS-Katalogs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 Verwalten von Firewall-Client-Regeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Häufig gestellte Fragen – Verwendung von Platzhaltern in Firewall-Regeln. . . . . . . . . . . . . . . . . . . . 84 Konfigurieren von allgemeinen Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Übersicht über allgemeine Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Definieren der Client-Funktionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 4 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Inhaltsverzeichnis Konfigurieren der Richtlinie "Client-Benutzeroberfläche". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Festlegen der allgemeinen Optionen für die Client-Benutzeroberfläche. . . . . . . . . . . . . . . . . . . . . . . 88 Festlegen der erweiterten Optionen und Kennwörter für die Client-Benutzeroberfläche. . . . . . . . . . 89 Festlegen der Fehlerbehebungsoptionen für die Client-Benutzeroberfläche. . . . . . . . . . . . . . . . . . . . 90 Definieren vertrauenswürdiger Netzwerke. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 Konfigurieren der Richtlinie "Vertrauenswürdige Netzwerke". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 Definieren vertrauenswürdiger Anwendungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 Konfigurieren der Richtlinie "Vertrauenswürdige Anwendungen". . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Erstellen und Bearbeiten von Regeln für vertrauenswürdige Anwendungen. . . . . . . . . . . . . . . . . . . 94 Zuweisen mehrerer Instanzen der Richtlinie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 Arbeiten mit Host Intrusion Prevention-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Übersicht Windows-Client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Taskleistenmenü. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Client-Konsole für Windows-Clients. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 Entsperren der Windows-Client-Benutzeroberfläche. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 Einstellen von Optionen für die Client-Benutzeroberfläche. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Fehlerbehebung für den Windows-Client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 Windows-Client-Warnungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Informationen zur Registerkarte "IPS-Richtlinie". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 Informationen zur Registerkarte "Firewall-Richtlinie". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 Informationen zur Registerkarte "Blockierte Hosts". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 Bearbeiten der Liste "Blockierte Hosts". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 Informationen zur Registerkarte "Anwendungsschutzliste". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 Arbeiten mit der Registerkarte "Aktivitätsprotokoll". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 Übersicht Solaris-Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Richtlinienerzwingung mit dem Solaris-Client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Fehlerbehebung für den Solaris-Client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 Übersicht Linux-Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 Richtlinienerzwingung mit dem Linux-Client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 Anmerkungen zum Linux-Client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 Fehlerbehebung für den Linux-Client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen. . . . 118 Regelstruktur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 Allgemeine Abschnitte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 Optionale allgemeine Abschnitte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 Platzhalter und Variablen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 Benutzerdefinierte Windows-Signaturen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 5 Inhaltsverzeichnis Windows-Klasse "Buffer Overflow". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 Windows-Klasse "Files". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 Windows-Klasse "Hook". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 Windows-Klasse "Illegal Host IPS API Use". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 Windows-Klasse "Illegal Use". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 Windows-Klasse "Isapi" (HTTP). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 Windows-Klasse "Program". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 Windows-Klasse "Registry". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 Windows-Klasse "Services". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 Windows-Klasse "SQL". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 Klassen und Richtlinien für die einzelnen Windows-Plattformen. . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 Benutzerdefinierte Nicht-Windows-Signaturen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 Solaris/Linux-Klasse "UNIX_file". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 Solaris/Linux-Klasse "UNIX_apache" (HTTP). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 Solaris/Linux-Klasse "UNIX_Misc". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 Solaris-Klasse "UNIX_bo". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 Solaris-Klasse "UNIX_map". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 Solaris-Klasse "UNIX_GUID". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 Klassen und Richtlinien für die einzelnen UNIX-Plattformen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 Anhang B: Fehlerbehebung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 Allgemeine Probleme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 Host IPS-Protokolle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 Dienstprogramm Clientcontrol.exe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 6 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Über Host Intrusion Prevention ® McAfee Host Intrusion Prevention ist ein hostbasiertes Entdeckungs- und Präventionssystem, das Systemressourcen und Anwendungen sowohl vor externen als auch vor internen Angriffen schützt. Als verwaltbare und skalierbare Lösung schützt es Arbeitsstationen, Notebooks und unternehmenskritische Server, einschließlich Web- und Datenbankserver vor Eindringversuchen. Zero-Day-Angriffe und bekannte Angriffe werden mit patentierter Technologie blockiert. Host Intrusion Prevention (hier auch als Host IPS oder HIP bezeichnet) schützt Daten und beugt der Manipulation von System- und Netzwerkressourcen sowie Anwendungen vor, mit denen Informationen gespeichert und bereitgestellt werden. Dies wird mit einer Endpunkt-Firewall-Funktion und einem System zum Schutz vor Eindringversuchen (IPS) erreicht. Die IPS-Funktion wird monatlich aktualisiert; Patches im Zusammenhang mit neuen Bedrohungen sind somit weniger dringlich. Die Firewall-Funktion von Host Intrusion Prevention ist separat oder zusammen mit der IPS-Funktion von Host Intrusion Prevention erhältlich. Host Intrusion Prevention ist vollständig in ePolicy Orchestrator integriert und verwendet zur Übertragung und Erzwingung von Richtlinien dessen Framework. Dieser Ansatz bietet eine vollständige Verwaltungslösung, mit der die unternehmensweite Bereitstellung auf bis zu 100.000 Systemen in mehreren Sprachen möglich ist und die somit eine umfassende, globale Abdeckung bietet. Inhalt Host IPS-Schutz Host IPS-Richtlinien Host IPS-Richtlinienverwaltung Host IPS-Richtliniennachverfolgung und Abstimmung Host IPS-Schutz Nachdem alle für Host Intrusion Prevention erforderlichen Komponenten installiert sind und funktionieren, können Sie die Schutzfunktion anwenden, Ereignisse überwachen und Richtlinien und Inhalte nach Bedarf aktualisieren. Basisschutz Host Intrusion Prevention wird mit einem Satz von Standardrichtlinien geliefert, die einen grundlegenden Schutz für Ihre Umgebung bieten. Diese Einstellungen umfassen: • Für IPS-Schutz: • Signaturen mit einem hohen Schweregrad werden verhindert und alle anderen Signaturen ignoriert. • McAfee-Anwendungen werden für alle Regeln außer IPS-Selbstschutzregeln als vertrauenswürdige Anwendungen eingestuft. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 7 Über Host Intrusion Prevention Host IPS-Richtlinien • Vordefinierte Anwendungen und Prozesse werden geschützt. • Für Firewall-Schutz: • Basis-Netzwerkkonnektivität ist zulässig. HINWEIS: Wenn Host Intrusion Prevention 8.0 zuerst installiert wird, ist der Schutz nicht aktiviert. Aktivieren Sie in der Richtlinie für IPS- oder Firewall-Optionen den Schutz, und wenden Sie die Richtlinie auf dem Client an. Erweiterter Schutz Für den erweiterten Schutz können Sie von den standardmäßigen IPS-Richtlinien zu strengeren vordefinierten Richtlinien wechseln oder benutzerdefinierte Richtlinien erstellen. Beginnen Sie mit einem Ausbringungstest, um die neuen Einstellungen zu überwachen und ihre Optimierung vorzunehmen. Bei der Optimierung geht es um das Gleichgewicht zwischen Eindringungsschutz und dem Zugriff auf erforderliche Informationen und Anwendungen je nach Gruppentyp. Host IPS-Richtlinien Eine Richtlinie ist eine Sammlung von Einstellungen, die Sie über die ePolicy Orchestrator-Konsole konfigurieren und durchsetzen. Durch das Anwenden von Richtlinien wird sichergestellt, dass Ihre Sicherheitsbedürfnisse im Hinblick auf verwaltete Systeme erfüllt werden. Mit Host Intrusion Prevention werden drei Richtlinienfunktionen bereitgestellt, wobei jede einzelne eine Reihe von Sicherheitsoptionen umfasst. Dies sind im Einzelnen: IPS, Firewall und Allgemein. Die IPSund Firewall-Funktionen enthalten eine Richtlinie "Regeln", in der Regeln für Maßnahmen bestimmt werden, und eine Richtlinie "Optionen", mit der diese Regeln aktiviert oder deaktiviert werden. Die Eigentümerschaft an diesen Richtlinien wird im Richtlinienkatalog zugewiesen. Nachdem eine Richtlinie erstellt wurde, kann sie nur durch den Urheber dieser Richtlinie oder den globalen Administrator bearbeitet oder gelöscht werden. Richtlinien können ausschließlich über den Richtlinienkatalog gelöscht werden. IPS-Richtlinien Die IPS-Funktion beinhaltet drei Richtlinien zum Schutz von Windows- und Nicht-Windows-Computern. Sie enthält Details zu Ausnahmen, Signaturen, Anwendungsschutzregeln, Ereignissen und von Clients generierten Ausnahmen. • IPS-Optionen (Alle Plattformen). Aktiviert oder deaktiviert den IPS-Schutz und das Anwenden des adaptiven Modus für die Feineinstellung. • IPS-Schutz (Alle Plattformen). Legt die Schutzreaktion auf Ereignisse fest, die von Signaturen erzeugt werden. • IPS-Regeln (Alle Plattformen). Legt Ausnahmen, Signaturen und Anwendungsschutzregeln fest. Diese Richtlinie ist eine Richtlinie mit mehreren Instanzen und ermöglicht das Zuweisen mehrerer IPS-Regelrichtlinien statt nur einer einzelnen Richtlinie für ein System. Die geltende Richtlinie stellt dann das Ergebnis der zusammengeführten Inhalte der Richtlinien dar. Falls zwischen den Einstellungen Konflikte auftreten, wird die explizite Einstellung mit dem höchsten Schutz angewendet. 8 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Über Host Intrusion Prevention Host IPS-Richtlinienverwaltung Firewall-Richtlinien Die Firewall-Funktion umfasst drei Richtlinien, mit denen nur Windows-Computer geschützt werden. Die Richtlinien filtern den Netzwerkverkehr und lassen dabei legitimen Netzwerkverkehr die Firewall passieren und blockieren den Rest. • Firewall-Optionen (nur Windows). Aktiviert oder deaktiviert den Firewall-Schutz und das Anwenden des adaptiven oder Lernmodus für die Feineinstellung. • Firewall-Regeln (nur Windows). Legt die Firewall-Regeln fest. • Firewall-DNS-Blockierung (nur Windows). Definiert die zu blockierenden Domänennamenserver. Allgemeine Richtlinien Die Funktion "Allgemein" enthält drei Richtlinien, die für IPS- und Firewall-Funktionen gelten. • Client-UI (nur Windows). Definiert den Zugriff auf die Benutzeroberfläche von Host Intrusion Prevention auf Windows-Client-Systemen, einschließlich Fehlerbehebungsoptionen. Darüber hinaus wird ein Kennwortschutz aller Nicht-Windows-Client-Systeme ermöglicht. • Vertrauenswürdige Netzwerke (nur Windows). Eine Liste der IP-Adressen und Netzwerke, über die eine sichere Kommunikation erfolgen kann. Wird mit den IPS- und Firewall-Funktionen verwendet. • Vertrauenswürdige Anwendungen (Alle Plattformen). Eine Liste der Anwendungen, die für die Ausführung der meisten Operationen vertrauenswürdig sind. Wird mit der IPS-Funktion verwendet. Diese Richtlinie ist ebenfalls eine Richtlinie mit mehreren Instanzen und ermöglicht das Zuweisen mehrerer Regeln für vertrauenswürdige Anwendungen statt nur einer einzelnen Richtlinie für ein System. Die geltende Richtlinie stellt dann das Ergebnis der zusammengeführten Inhalte der Richtlinien dar. Falls zwischen den Einstellungen Konflikte auftreten, wird die Einstellung mit dem höchsten Schutz angewendet. Host IPS-Richtlinienverwaltung Über die ePolicy Orchestrator-Konsole können Sie die Host Intrusion Prevention-Richtlinien von einem zentralen Standort aus konfigurieren. Durchsetzen von Richtlinien Wenn Sie Host Intrusion Prevention-Richtlinien über die Host Intrusion Prevention-Konsole ändern, werden die Änderungen auf den verwalteten Systemen während der nächsten Kommunikation zwischen Agent und Server übernommen. Standardmäßig ist dieses Intervall auf einen Wert von 60 Minuten eingestellt. Um die Richtlinien mit sofortiger Wirkung durchzusetzen, können Sie von der ePolicy Orchestrator-Konsole aus eine Agenten-Reaktivierung durchführen. Richtlinien und ihre Kategorien Informationen zu Host Intrusion Prevention werden nach Funktion und Kategorie gruppiert. Jede Richtlinienkategorie bezieht sich auf eine bestimmte Untermenge von Richtlinien. Eine Richtlinie ist eine für einen bestimmten Zweck konfigurierte Gruppe von Einstellungen. Sie können so viele Richtlinien wie nötig erstellen, ändern oder löschen. Jede Richtlinie besitzt eine vordefinierte McAfee-Standard-Richtlinie, die sich nicht bearbeiten oder löschen lässt. Mit Ausnahme von IPS-Regeln und vertrauenswürdigen Anwendungen McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 9 Über Host Intrusion Prevention Host IPS-Richtliniennachverfolgung und Abstimmung besitzen alle Richtlinien auch die bearbeitbare Richtlinie Mein Standard, die auf der McAfee-Standardrichtlinie basiert. Zu einigen Richtlinienkategorien gehören unveränderliche, vorkonfigurierte Richtlinien. Falls diese vorkonfigurierten Richtlinien Ihrem Bedarf entsprechen, können Sie direkt eingesetzt werden. Diese Richtlinien können nur gelesen werden, lassen sich aber wie alle Richtlinien duplizieren. Das Duplikat selbst kann dann je nach Bedarf angepasst werden. IPS-Regeln und Richtlinien für vertrauenswürdige Anwendungen sind Richtlinien mit mehreren Instanzen, da Sie im Zusammenhang mit einer einzelnen Richtlinie mehrere Richtlinieninstanzen zuweisen können. Die Richtlinieninstanzen werden dabei automatisch in einer einzigen effektiven Richtlinie zusammengefasst. TIPP: Die Richtlinien "McAfee-Standard" für "IPS-Regeln" und "Vertrauenswürdige Anwendungen" werden automatisch als Teil des Inhaltsaktualisierungsvorgangs aktualisiert. Es wird empfohlen, die Zuweisung dieser Richtlinien für alle Clients sowie das Erstellen zusätzlicher Richtlinieninstanzen, um das Verhalten der beiden Richtlinien anzupassen. Anwenden von Richtlinien Richtlinien werden auf beliebige Systeme oder Systemstrukturgruppen entweder durch Vererbung oder Zuweisung angewendet. Vererbung bestimmt, ob die Richtlinieneinstellungen für ein System von dessen übergeordnetem Element übernommen werden. In der Standardeinstellung ist die Vererbung für die gesamte Systemstruktur aktiviert. Sie können diese Vererbung durch direkte Zuweisung von Richtlinien durchbrechen. Da Host Intrusion Prevention durch ePolicy Orchestrator verwaltet wird, haben Sie die Möglichkeit, Richtlinien zu erstellen und diese unabhängig von der Vererbung zuzuweisen. Wenn Sie diesen Vererbungsmechanismus durch Zuweisen einer neuen Richtlinie unterbrechen, erben alle untergeordneten Systeme diese neue Richtlinie. Richtlinieneigentümerschaft Jede Richtlinie muss einem Eigentümer zugewiesen sein. Die Eigentümerschaft stellt sicher, dass niemand außer dem globalen Administrator, dem Urheber der Richtlinie oder der als Eigentümer der Richtlinie angelegten Person die Richtlinie ändern kann. Jeder Administrator kann alle Richtlinien im Katalog verwenden; ändern kann sie jedoch nur der Urheber, der Eigentümer oder der globale Administrator. TIPP: Anstelle die Richtlinie eines anderen Administrators zu nutzen, empfiehlt es sich, die Richtlinie zu kopieren und dann die Kopie zuzuweisen. Wenn Sie eine Richtlinie, deren Eigentümer nicht Sie sind, einem Knoten der von Ihnen verwalteten Systemstruktur zuweisen und der Eigentümer der Richtlinie diese ändert, gelten diese Änderungen für alle Systeme, denen diese Richtlinie zugewiesen wurde. Host IPS-Richtliniennachverfolgung und Abstimmung Die Ausbringung und Verwaltung von Host Intrusion Prevention-Clients werden von ePolicy Orchestrator verarbeitet. In der ePO-Konsolenstruktur können Sie Systeme hierarchisch nach Attributen gruppieren. Sie können z. B. eine erste Ebene nach geografischem Standort und eine zweite Ebene nach Betriebssystemplattform oder nach IP-Adresse gruppieren. Es wird empfohlen, Systeme in Gruppen – basierend auf Host Intrusion Prevention-Konfigurationskriterien – anzuordnen, beispielsweise nach Systemtyp (Server oder Desktop), Nutzung wichtiger Anwendungen (Web, Datenbank oder Mail-Server) oder strategischem Standort (DMZ oder 10 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Über Host Intrusion Prevention Host IPS-Richtliniennachverfolgung und Abstimmung Internet). Sie können Clients mit einem gemeinsamen Verwendungsprofil innerhalb der Konsolenstruktur in einer gemeinsame Gruppe platzieren. Sie können auch eine Gruppe nach diesem Verwendungsprofil benennen, z. B. Web-Server. Bei Verwendung der genannten Konsolenstruktur mit einer Gruppierung nach Typ, Funktion oder geografischem Standort können Sie die zugehörigen Verwaltungsfunktionen analog zu dieser Gruppierung aufteilen. Mit Host Intrusion Prevention können Sie die Verwaltungsaufgaben basierend auf Produktfunktionen, wie IPS oder Firewall, aufteilen. Die Ausbringung von Host Intrusion Prevention auf Tausenden von Computern ist einfach zu verwalten, da die meisten Clients wenigen Anwendungsprofilen zugeordnet werden können. Die Verwaltung einer großen Ausbringung reduziert sich auf die Verwaltung einiger weniger Richtlinienregeln. Mit der Erweiterung der Ausbringung sollten neu hinzugefügte Systeme einem oder mehreren vorhandenen Profilen zugeordnet werden. Sie können dann einfach unter den entsprechenden Gruppenknoten in der Konsolenstruktur platziert werden. Vordefinierter Schutz Host Intrusion Prevention bietet zwei Arten von Schutz: • Der Basisschutz besteht bereits durch die Einstellungen der McAfee-Standardrichtlinie. Für diesen Schutz ist praktisch keine Optimierung erforderlich und er verursacht nur wenige Ereignisse. Dieser Basisschutz kann für viele Umgebungen bereits ausreichend sein. • Auch ein erweiterter Schutz steht in Form vorkonfigurierter IPS- und Firewall-Richtlinien zur Verfügung, oder durch das Erstellen benutzerdefinierter Richtlinien. Server benötigen z. B. über den Basisschutz hinausgehende Schutzmechanismen. In beiden Szenarien ist ein gewisser Grad an Optimierung der Schutzeinstellungen zur Anpassung an die tatsächliche Arbeitsumgebung erforderlich. Adaptiver Modus Um die Schutzeinstellungen noch feiner abzustimmen, können Host Intrusion Prevention-Clients auf Client-Seite Ausnahmeregeln für Server-Richtlinien erstellen, die berechtigte Aktivitäten blockieren. Das Erstellen von Client-Regeln ist erlaubt, wenn Clients in den adaptiven Modus versetzt werden. Im adaptiven Modus werden Client-Regeln erstellt, ohne dass der Benutzer eingreifen muss. Nach dem Erstellen der Client-Regeln prüfen Sie diese sorgsam, und entscheiden Sie, welche der Regeln in Server-Richtlinien umgewandelt werden sollen. In großen Unternehmen geht es häufig noch vor der Berücksichtigung von Sicherheitsbelangen vorrangig um einen störungsfreien Geschäftsablauf. Regelmäßig müssen z. B. neue Anwendungen auf bestimmten Client-Computern installiert werden, und Sie haben möglicherweise weder die Zeit, noch die Ressourcen, um umgehend eine Abstimmung vornehmen zu können. Mit Host Intrusion Prevention können bestimmte Clients für den IPS-Schutz in den adaptiven Modus versetzt werden. Diese Computer erstellen das Profil einer neu installierten Anwendung und leiten die erstellten Client-Regeln an den ePolicy Orchestrator-Server weiter. Der Administrator kann diese Client-Regeln auf vorhandene oder neue Richtlinien übertragen und dann die Richtlinie auf andere Computer anwenden, um die neue Software zu verwalten. Systeme im adaptiven Modus verfügen über praktisch keinen Schutz, daher sollte der adaptive Modus nur zur Optimierung einer Umgebung genutzt werden und dann deaktiviert werden, um den Schutz des Systems zu erhöhen. Optimierung Als Teil der Ausbringung von Host Intrusion Prevention müssen Sie einige eindeutige Profile bestimmen und für sie Richtlinien erstellen. Dies erreichen Sie am besten, wenn Sie eine McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 11 Über Host Intrusion Prevention Host IPS-Richtliniennachverfolgung und Abstimmung Testausbringung einrichten und dann damit beginnen, die Zahl der falsch-positiven und generierten Ereignisse zu verringern. Dieser Vorgang wird Abstimmung oder Tuning genannt. Striktere IPS-Regeln zielen auf eine Reihe von Verletzungen ab und generieren daher mehr Ereignisse als in einer Basisumgebung auftreten würden. Wenn Sie den erweiterten Schutz anwenden, wird die Verwendung der IPS-Schutzrichtlinie empfohlen, um die Auswirkungen zu staffeln. Dazu gehört die Zuordnung jeder Sicherheitsebene (Hoch, Mittel, Niedrig und Information) zu einer Reaktion (Verhindern, Protokollieren, Ignorieren). Indem zunächst alle Sicherheitsebenen mit Ausnahme von "Hoch" auf "Ignorieren" gesetzt werden, werden nur die Sicherheitssignaturen von "Hoch" angewendet. Die anderen Ebenen können nach und nach bei der Abstimmung erhöht werden. Sie können die Zahl der falsch-positiven Ergebnisse verringern, indem Sie Ausnahmeregeln, vertrauenswürdige Anwendungen und Firewall-Regeln erstellen. • Ausnahmeregeln sind Mechanismen für das Außerkraftsetzen einer IPS-Signatur unter bestimmten Umständen. • Vertrauenswürdige Anwendungen sind Anwendungsprozesse, die alle IPS oder Firewall-Regeln umgehen. • Firewall-Regeln bestimmen, ob Datenverkehr zulässig ist und ob die Paketübertragung erlaubt oder blockiert wird. Dashboards und Abfragen Dashboards ermöglichen es Ihnen, durch die simultane Anzeige mehrerer Abfrageergebnisse Ihre Umgebung zu sichten. Diese Abfragen können fortlaufend aktualisiert werden oder mit einer bestimmten Häufigkeit ausgeführt werden. Abfragen ermöglichen es Ihnen, Daten über ein bestimmtes Element abzurufen, die sich dann nach einer bestimmten Untermenge filtern lassen, z. B. Ereignisse der Ebene "Hoch", die von bestimmten Clients für eine bestimmte Zeitspanne berichtet werden. Berichte können als E-Mail-Nachrichten terminiert und gesendet werden. 12 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Verwalten Ihres Schutzes Zu den Verwaltungsaufgaben in Host Intrusion Prevention gehört das Überwachen und Analysieren von Vorgängen, entsprechendes Reagieren, das Ändern und Aktualisieren von Richtlinien sowie das Ausführen systematischer Aufgaben. Inhalt Informationsverwaltung Richtlinienverwaltung Systemverwaltung Informationsverwaltung Nach der Installation von Host Intrusion Prevention können Sie Sicherheitsprobleme aus der Umgebung nachverfolgen und dazu Berichte erstellen. Mit Dashboards erhalten Sie eine tägliche Übersicht über die Sicherheitssituation und können mittels Abfragen Einzelheiten zu konkreten Problemen ermitteln. Host IPS-Dashboards Dashboards, eine Zusammenstellung von Monitoren, spielen bei der Verwaltung der Umgebung eine wichtige Rolle. Monitore umfassen Diagrammabfragen bis zu kleinen Web-Anwendungen, beispielsweise MyAvert Threat Service. Entsprechende Berechtigungen vorausgesetzt, können Sie mehrere Dashboards erstellen und bearbeiten. Als Dashboard, das nach einer festgelegten Zeitspanne aktualisiert wird, lassen sich beliebige Diagrammabfragen verwenden. Solche "Live"-Dashboards sind daher für besonders nützliche Abfragen geeignet. Host Intrusion Prevention beinhaltet zwei Standard-Dashboards mit folgenden Monitoren: Tabelle 1: Dashboards und Monitore in Host IPS Dashboard Monitore Host IPS • Firewall-Status • Host IPS-Status • Dienststatus • Zähler für IPS-Client-Regeln • Content-Versionen • Top 10 der NIPS-Ereignisse nach Quell-IP • Desktop, ausgelöste Signaturen (Hoch) • Desktop, ausgelöste Signaturen (Mittel) • Desktop, ausgelöste Signaturen (Niedrig) • Server, ausgelöste Signaturen (Hoch) Ausgelöste Signaturen von Host IPS McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 13 Verwalten Ihres Schutzes Informationsverwaltung Dashboard Monitore • Server, ausgelöste Signaturen (Mittel) • Server, ausgelöste Signaturen (Niedrig) Weitere Informationen zur Erstellung und Nutzung von Dashboards erhalten Sie in der Dokumentation zu ePolicy Orchestrator. Host IPS-Abfragen Host Intrusion Prevention bietet Abfragefunktionen mittels ePolicy Orchestrator. Nützliche Abfragen lassen sich entweder aus Ereignissen und Eigenschaften erstellen, die in der ePO-Datenbank gespeichert sind, oder Sie können vordefinierte Abfragen verwenden. Sie können Abfragen für eine Gruppe ausgewählter Client-Systeme erstellen oder die Berichtsergebnisse nach Produkt- oder Systemkriterien einschränken. Sie können Berichte in diversen Dateiformaten exportieren, auch in HTML- und Microsoft Excel-Dateien. Abfrageoptionen: • Festlegen eines Verzeichnisfilters, um nur ausgewählte Informationen zu sammeln. Auswählen, welche Gruppen oder Tags in den Bericht aufgenommen werden sollen. • Festlegen eines Datenbankfilters, in dem Sie mithilfe logischer Operatoren präzise Filterkriterien für die Berichtsdaten definieren. • Erstellen grafischer Berichte anhand von Informationen aus der Datenbank, Filtern, Drucken und Exportieren von Berichten in andere Softwareanwendungen. • Ausführen von Abfragen nach Computern, Ereignissen und Installationen. Vordefinierte und benutzerdefinierte Abfragen zur Analyse Ihres Schutzes Die Berichtsfunktion enthält vordefinierte Abfragen aus Host Intrusion Prevention und ermöglicht Ihnen das Erstellen benutzerdefinierter Abfragen. Diese können individuell verwaltet und angeordnet werden. Wenn Sie beispielsweise die Einstellungen für einen Bericht anpassen, können Sie diese Einstellungen als Vorlage exportieren. Nachdem Sie eine benutzerdefinierte Vorlage erstellt haben, ordnen Sie diese so an, dass sie je nach Bedarf täglich, wöchentlich oder monatlich ausgeführt werden kann. Nachdem ein Bericht generiert wurde, wird die in dem von Ihnen gegebenenfalls angegebenen Filter festgelegte Zusammenfassung angezeigt. Ausgehend von der Zusammenfassung können Sie im gleichen Bericht auf die eine oder zwei Ebenen tiefer liegenden ausführlichen Informationen herunterbrechen. Sie können die Sichtbarkeit von Berichtsinformationen für unterschiedliche Benutzer festlegen, beispielsweise für globale Administratoren gegenüber Site-Administratoren. Einige Benutzer können nur auf Systemen, auf denen sie entsprechende Berechtigungen haben, Berichte einsehen. Die Berichtsinformationen werden auch durch das Anwenden von Filtern gesteuert. Benutzerdefinierte Abfragen Mit dem Abfrage-Generator lassen sich unter Sonstige vier Host IPS-Abfragen erstellen: Host IPS 8.0 Firewall-Client-Regeln, Host IPS 8.0 Ausführbare Dateien für Firewall-Client-Regeln,Host IPS 8.0 IPS-Client-Regeln und Host IPS 8.0 IPS-Ausnahmen. 14 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Verwalten Ihres Schutzes Informationsverwaltung Parameter für diese Abfragen sind: Tabelle 2: Host IPS-Abfragen und -Parameter Abfrage Parameter Host IPS 8.0-Katalog-Firewall-Regeln und Firewall-Client-Regeln • Aktion • Richtung HINWEIS: Diese Abfrage gibt IPS-Katalog-Firewall-Regeln, IPS-Katalog-Firewall-Gruppen und Firewall-Client-Regeln zurück. Mögliche Aktionswerte sind zulassen, blockieren und springen. Springen gilt für Gruppen, die nicht über die Aktion zum Zulassen bzw. Blockieren verfügen. Bei IPS-Katalogregeln und -gruppen ist der Filter leafNodeId auf 0 gesetzt. Um nur Firewall-Client-Regeln anzuzeigen, setzen Sie den Filter auf > 0. • Aktiviert • Letzte Änderung • Zuletzt geändert von • Endknoten-ID • Lokale Dienste • Protokollstatus • IP-Protokoll • Intrusionsübereinstimmung • Medientyp • Name • Hinweis • Remote-Dienste • Regel-ID • Zeitplanende • Zeitplanstart • Wechseln bei Ablauf • Transportprotokoll • Fingerabdruck • Name • Hinweis • Pfad • Regel-ID • Name des Unterzeichnenden • Erstellt am • Beschreibung • Name der ausführbaren Datei • Pfad der ausführbaren Datei • Fingerabdruck • Vollständiger Name der ausführbaren Datei • Alle ausführbaren Dateien einschließen • Alle Signaturen einschließen • Alle Benutzer einschließen • Datum der letzten Änderung • Lokale Version • Reaktion • Signatur-ID • Name des Unterzeichnenden • Status • Benutzername • IPS-Ausnahmeregeln Ausführbare Dateien für Host IPS 8.0-Firewall-Client-Regeln Host IPS 8.0 IPS-Client-Regeln Host IPS 8.0-IPS-Ausnahmen McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 15 Verwalten Ihres Schutzes Informationsverwaltung Abfrage Parameter • Richtlinie für IPS-Regeln Gemeinsame Host IPS-Eigenschaften Folgende Host IPS-Eigenschaften können in benutzerdefinierte Abfragen von Host IPS und sonstige benutzerdefinierte Abfragen eingeschlossen werden: • Agenten-Typ • Status des adaptiven IPS-Modus • Blockierte Angreifer • Sprache • Client-Version • Anzahl lokaler Ausnahmeregeln • Content-Version • Netzwerk-IPS-Status • Status des adaptiven Firewall-Modus • Ausstehender Neustart • Firewall-Fehler (Fehler) • Plug-In-Version • Status des Firewall-Lernmodus (Eingehend) • Produktstatus • Status des Firewall-Lernmodus (Ausgehend) • Ausgeführter Dienst • Anzahl Firewall-Regeln • Produktversion • Firewall-Status • Service Pack • Host IPS-Fehler (Fehler) • Host IPS-Status • Host IPS-Ereignisinfo (ausgeblendet, gelesen) • Installationsverzeichnis • Signaturname • Hotfix/Patch-Version Vordefinierte Abfragen Neben benutzerdefinierten Abfragen gibt es eine Reihe bereits definierter Abfragen, die sie im Originalzustand verwenden oder wunschweise bearbeiten können. Folgende vordefinierte Abfragen stehen in Host IPS zur Auswahl: HIP-Abfrage Zusammenfassung Client-Regeln anhand von Prozessen Zeigt Firewall-Client-Regeln nach Prozess an. Client-Regeln anhand von Prozessen/Port-Bereichen Zeigt Firewall-Client-Regeln nach Prozess und Port-Bereich an. Client-Regeln anhand von Prozessen/Benutzern Zeigt Firewall-Client-Regeln nach Prozess und Benutzer an. Client-Regeln anhand von Protokoll-/Systemnamen Zeigt Firewall-Client-Regeln nach Protokoll- und Systemnamen an. Client-Regeln anhand von Protokollen/Port-Bereichen Zeigt Firewall-Client-Regeln nach Protokoll und Port-Bereich an. Client-Regeln anhand von Protokollen/Prozessen Zeigt Firewall-Client-Regeln nach Protokoll und Prozess an. Client-Versionen Zeigt die obersten drei Client-Versionen mit einer einzelnen Kategorie für alle anderen Versionen an. Ausstehende Client-Neustarts Zeigt verwaltete Systeme an, auf denen Host IPS bereitgestellt wurde und das System neu gestartet werden muss. 16 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Verwalten Ihres Schutzes Richtlinienverwaltung HIP-Abfrage Zusammenfassung Content-Versionen Zeigt die obersten drei der Content-Versionen mit einer einzelnen Kategorie für alle anderen Versionen an. Zähler für FW-Client-Regeln Zeigt die Anzahl an Firewall-Client-Regeln an, die im Laufe der Zeit erstellt wurden. Zähler für IPS-Client-Regeln Zeigt die Anzahl an IPS-Client-Regeln an, die im Laufe der Zeit erstellt wurden. Desktop, ausgelöste Signaturen (Hoch) Zeigt die zehn am häufigsten ausgelösten IPS-Signaturen mit hohem Schweregrad (Kritisch) an Desktop, ausgelöste Signaturen (Mittel) Zeigt die zehn am häufigsten ausgelösten IPS-Signaturen mit mittlerem Schweregrad (Warnung) an Desktop, ausgelöste Signaturen (Niedrig) Zeigt die zehn am häufigsten ausgelösten IPS-Signaturen mit niedrigem Schweregrad (Hinweis) an Ereignisse von vertrauenswürdigen Netzwerken von Host IPS Zeigt Ereignisse an, die von Systemen mit einem vertrauenswürdigen Netzwerk von Host IPS generiert wurden. Firewall-Fehler Zeigt die verwalteten Systeme an, bei denen die Firewall per Richtlinie aktiviert wurde, aber nicht ordnungsgemäß gestartet werden konnte. Firewall-Status Zeigt an, wo der Firewall-Schutz auf verwalteten Systemen aktiviert oder deaktiviert ist. Host IPS-Fehler Zeigt die verwalteten Systeme an, bei denen die IPS-Funktion per Richtlinie aktiviert wurde, aber nicht ordnungsgemäß gestartet werden konnte. Host IPS-Status Zeigt an, wo der IPS-Schutz auf verwalteten Systemen aktiviert oder deaktiviert ist. IPS-Ausnahmenbericht Zeigt die Richtlinien der IPS-Regel an, die IPS-Ausnahmen verwenden. Server, ausgelöste Signaturen Zeigt die zehn am häufigsten ausgelösten IPS-Signaturen mit hohem Schweregrad (Hoch) (Kritisch) an Server, ausgelöste Signaturen Zeigt die zehn am häufigsten ausgelösten IPS-Signaturen mit mittlerem Schweregrad (Mittel) (Warnung) an Server, ausgelöste Signaturen Zeigt die zehn am häufigsten ausgelösten IPS-Signaturen mit niedrigem Schweregrad (Niedrig) (Hinweis) an Dienststatus Zeigt an, wo Host IPS installiert ist und ob die Anwendung auf verwalteten System ausgeführt wird oder nicht. TOP 10 der IPS-Ereignisse nach Ziel Zeigt die Top 10 der Systeme mit den meisten IPS-Ereignissen an. Top 10 der NIPS nach Quell-IP Zeigt die Top 10 der Netzwerkangriffe nach Quell-IP-Adresse für die letzten drei Monate an. Top 10 der aufgerufenen Signaturen Zeigt die Top 10 der am häufigsten ausgelösten IPS-Signaturen an. Richtlinienverwaltung Die Verwaltung von Richtlinien besteht aus dem Konfigurieren und Anwenden von Richtlinien und der Optimierung des Schutzes hinsichtlich der Systemressourcen und -anwendungen. Ein Teil dieses Vorgangs erfordert eine Analyse von Ereignissen und Client-Regeln. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 17 Verwalten Ihres Schutzes Richtlinienverwaltung Suchen von Richtlinien In ePolicy Orchestrator werden Host Intrusion Prevention-Richtlinien an zwei Orten angezeigt und verwaltet: der Registerkarte Zugewiesene Richtlinien (bei ausgewählten Gruppen in der Systemstruktur auf der Registerkarte Systeme | Systemstruktur | Zugewiesene Richtlinien) und der Registerkarte Richtlinienkatalog (Systeme | Richtlinienkatalog). Im Hinblick auf eine ausgewählte Gruppe oder ein System sind auf der Registerkarte Zugewiesene Richtlinien folgende Vorgänge möglich: • Die verfügbaren Richtlinien einer bestimmten Funktion des Produkts anzeigen • Ausführliche Richtlinieninformationen anzeigen • Informationen zur Vererbung einsehen • Richtlinienzuweisungen bearbeiten • Benutzerdefinierte Richtlinien bearbeiten Auf der Registerkarte Richtlinienkatalog können Sie: • Richtlinien erstellen • Richtlinieninformationen anzeigen und bearbeiten • Die Zuweisung einer Richtlinie ermitteln • Einstellungen und Eigentümer einer Richtlinie anzeigen • Zuweisungen mit deaktivierter Richtlinienerzwingung anzeigen Zweck Vorgehensweise Erstellen einer Richtlinie Klicken Sie auf Neue Richtlinie, geben Sie ihr einen Namen, und bearbeiten Sie die Einstellungen. Bearbeiten einer Richtlinie Klicken Sie auf Bearbeiten (nur für Standard- oder vorkonfigurierte Richtlinien verfügbar). Anzeigen einer Richtlinie Klicken Sie auf Ansicht (nur für McAfee-Standard- oder vorkonfigurierte Richtlinien verfügbar). Umbenennen einer Richtlinie Klicken Sie auf Umbenennen, und ändern Sie den Namen der Richtlinie (nicht verfügbar für Standard- oder vorkonfigurierte Richtlinien). Duplizieren einer Richtlinie Klicken Sie auf Duplizieren, bearbeiten Sie den Namen der Richtlinie und deren Einstellungen. Löschen einer Richtlinie Klicken Sie auf Löschen (nicht verfügbar für Standard- oder vorkonfigurierte Richtlinien). HINWEIS: Wenn Sie eine Richtlinie löschen, dann übernehmen alle Gruppen, auf die diese Richtlinie aktuell angewendet wird, von ihrem übergeordneten Element die Richtlinie der betreffenden Kategorie. Wenn die Richtlinie des übergeordneten Elements nach dem Löschen nicht vererbt werden soll, prüfen Sie vor dem Löschen einer Richtlinie sämtliche Systeme, denen diese zugewiesen ist, und weisen Sie den Systemen eine andere Richtlinie zu. Wenn Sie eine Richtlinie löschen, die auf oberster Ebene angewendet wird, wird anschließend die Standardrichtlinie der entsprechenden Kategorie angewendet. Zuweisen eines Richtlinieneigentümers Klicken Sie auf den Eigentümer der Richtlinie, und wählen Sie einen anderen Eigentümer aus der Liste aus (nicht verfügbar für Standard- oder vorkonfigurierte Richtlinien). 18 Exportieren einer Richtlinie Klicken Sie auf Exportieren, geben Sie einen Namen ein, und speichern Sie die Richtlinie (eine XML-Datei) am gewünschten Speicherort. Exportieren aller Richtlinien Klicken Sie auf Alle Richtlinien exportieren, geben Sie einen Namen ein, und speichern Sie die XML-Richtliniendatei am gewünschten Speicherort. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Verwalten Ihres Schutzes Richtlinienverwaltung Zweck Vorgehensweise Importieren von Richtlinien Klicken Sie oben auf der Richtlinienkatalogseite auf Importieren, wählen Sie die XML-Richtliniendatei aus, und klicken Sie auf OK. Einzelheiten zu diesen Funktionen finden Sie in der Dokumentation von ePolicy Orchestrator. Konfigurieren von Richtlinien Nach der Installation der Software von Host Intrusion Prevention empfiehlt sich, diese so zu konfigurieren, dass sie ohne Beeinträchtigung täglicher Routineaufgaben den größtmöglichen Schutz bietet. Die Standardrichtlinien von Host Intrusion Prevention wurden für eine Vielzahl an Umgebungen konzipiert und erfüllen sicher auch Ihre Anforderungen. Um Richtlinien entsprechend den individuelle Einstellungen zu optimieren, empfehlen sich folgende Vorgehensweisen: • Entwerfen Sie eine genaue Host Intrusion Prevention-Sicherheitskonfiguration. Schätzen Sie ein, wer für die Konfiguration bestimmter Teile des Systems verantwortlich ist, und gewähren Sie den entsprechenden Zugriff. • Ändern Sie die standardmäßigen Richtlinien für den IPS-Schutz oder die Firewall-Regeln, die höhere Ebenen voreingestellter Schutzmaßnahmen bieten. • Ändern Sie den Schweregrad bestimmter Signaturen. Wenn beispielsweise eine Signatur durch die tägliche Arbeit von Benutzern ausgelöst wird, verringern Sie den Schweregrad. • Konfigurieren Sie Dashboards, um einen schnellen Überblick über Compliance und bestehende Probleme zu erhalten. • Konfigurieren Sie automatische Benachrichtigungen, damit bei bestimmten Ereignissen zuständige Mitarbeiter benachrichtigt werden. Beispiel: Eine Benachrichtigung kann gesendet werden, wenn auf einem bestimmten Server eine Aktivität ein Ereignis der Stufe "Hoch" auslöst. Erstellen einer neuen Richtlinie Um eine neue Richtlinie zu erstellen, kopieren Sie eine vorhandene Richtlinie, und geben der Kopie einen anderen Namen. Dies kann im Richtlinienkatalog oder auf einer Richtlinienseite erfolgen. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberfläche auf das ? klicken. • Führen Sie im Richtlinienkatalog einen der folgenden Schritte aus: • Klicken Sie auf Neue Richtlinie. Wählen Sie die Richtlinie aus, die Sie kopieren möchten, geben Sie den neuen Namen ein, und klicken Sie auf OK. • Klicken Sie auf den Link Duplizieren einer Richtlinie. Geben Sie den Namen der neuen Richtlinie ein, und klicken Sie auf OK. • Klicken Sie auf den Link Anzeigen oder Bearbeiten einer Richtlinie. Klicken Sie auf der Richtlinienseite dann auf Duplizieren. Geben Sie den Namen der neuen Richtlinie ein, und klicken Sie auf OK. Die kopierte Richtlinie wird angezeigt. Bearbeiten Sie sie, und klicken Sie auf Speichern. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 19 Verwalten Ihres Schutzes Richtlinienverwaltung Ändern der Richtlinienzuweisung Mit diesem Task werden in Host Intrusion Prevention die Richtlinienzuweisungen einer Gruppe oder eines Einzelsystems aus der ePolicy Orchestrator-Struktur geändert. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberfläche auf das ? klicken. • Führen Sie einen der folgenden Vorgänge aus: • Bei einer Gruppe wechseln Sie zu Systeme | Systemstruktur, und wählen Sie eine Gruppe aus. Klicken Sie anschließend auf der Registerkarte Zugewiesene Richtlinien auf Zuweisung bearbeiten. • Bei einem System wechseln Sie zu Systeme | Systemstruktur, und wählen Sie eine Gruppe aus, die das System enthält. Wählen Sie auf der Registerkarte System das System und anschließend Weitere Aktionen | Agenten | Richtlinien auf einem einzelnen System ändern aus. Standardschutz und Optimierung Host Intrusion Prevention funktioniert mit Standardrichtlinien für einen Basisschutz. Mittels benutzerdefinierter Einstellungen durch manuelle oder automatische Optimierung lässt sich die Schutzwirkung weiter erhöhen. Standardschutz Host Intrusion Prevention wird mit einem Satz an Standardrichtlinien geliefert, die einen Basisschutz für Ihre Umgebung bieten. Sowohl IPS- als auch Firewall-Schutz sind standardmäßig deaktiviert und müssen zur Erzwingung von Standardregelrichtlinien aktiviert werden. Für den erweiterten Schutz können Sie von den standardmäßigen IPS-Richtlinien zu strengeren vordefinierten Richtlinien wechseln oder benutzerdefinierte Richtlinien erstellen. Beginnen Sie mit einem Ausbringungstest, um die neuen Einstellungen zu überwachen und zu optimieren. Bei der Optimierung geht es um das Gleichgewicht zwischen Eindringungsschutz und dem Zugriff auf erforderliche Informationen und Anwendungen je nach Gruppentyp. Manuelle Optimierung Bei der manuellen Optimierung werden Ereignisse über einen bestimmten Zeitraum überwacht und Client-Regeln erstellt. • Beim IPS-Schutz werden Ereignisse auf Falsch-Positiv-Meldungen überwacht und Regeln für Ausnahmen oder vertrauenswürdige Anwendungen erstellt, um zu verhindern, dass diese Ereignisse erneut auftreten. • Beim Firewall-Schutz werden der Netzwerkverkehr überwacht und vertrauenswürdige Netzwerke hinzugefügt, um legitimen Netzwerkverkehr zuzulassen. • Überwachen Sie die Auswirkungen neuer Ausnahmen, vertrauenswürdiger Anwendungen und Netzwerke. • Wenn diese Regeln Falsch-Positiv-Meldungen verhindern können und gleichzeitig den Netzwerkverkehr auf ein Minimum reduzieren und legitime Aktivitäten zulassen, sollten sie Bestandteil einer neuen oder bestehenden Richtlinie werden. • Wenden Sie die neue Richtlinie auf eine Reihe von Computern an, und kontrollieren Sie die Ergebnisse. 20 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Verwalten Ihres Schutzes Richtlinienverwaltung • Wiederholen Sie diesen Vorgang mit jedem Produktionsgruppentyp. Automatische Optimierung Durch die automatische Optimierung ist es nicht mehr erforderlich, alle Ereignisse und Aktivitäten für alle Benutzer kontinuierlich zu überwachen. • Nutzen Sie für IPS- und Firewall-Richtlinien den adaptiven Modus. • Im adaptiven Modus werden IPS-Ereignisse nicht ausgelöst, und die Aktivitäten werden mit Ausnahme schädlicher Exploits nicht blockiert. Client-Regeln werden automatisch erstellt, um legitime Aktivitäten zu erlauben. • Prüfen Sie die Liste der Client-Regeln. • Entwickeln Sie geeignete Client-Regeln zu Regeln für Verwaltungsrichtlinien. • Deaktivieren Sie nach einigen Wochen den adaptiven Modus. • Überwachen Sie die Testgruppe einige Tage lang, um sicherzugehen, dass die Richtlinieneinstellungen angemessen sind und den gewünschten Schutz bieten. • Wiederholen Sie diesen Vorgang mit jedem Produktionsgruppentyp. Clients und Planen der Ausbringung Der Host Intrusion Prevention-Client ist für den Schutz entscheidend. Zur Bereitstellung von Clients empfiehlt sich eine mehrphasige Vorgehensweise: • Legen Sie einen ersten Client-Einführungsplan fest. Auch wenn die Host Intrusion Prevention-Clients auf jedem Host (Server, Desktops und Notebooks) im Unternehmen bereitgestellt werden können, empfiehlt sich, dass Sie diese zunächst auf nur wenigen repräsentativen Systemen installieren und deren Konfiguration optimieren. Nach der Optimierung können Sie weitere Clients ausbringen und die in der ersten Phase erstellten Richtlinien, Ausnahmen und Client-Regeln nutzen. • Legen Sie für Ihre Clients eine Namenskonvention fest. Clients werden in der Systemstruktur, in bestimmten Berichten und in den durch Aktivitäten des Clients erzeugten Ereignisdaten anhand ihres Namens erkannt. Clients können die Namen der Hosts annehmen, auf denen sie installiert sind. Sie können ihnen aber auch während der Installation bestimmte Client-Namen zuweisen. Es wird empfohlen, für Clients eine Namenskonvention festzulegen, die von allen Benutzern, die mit Host Intrusion Prevention arbeiten, problemlos verstanden wird. • Installieren Sie die Clients. Clients können zusammen mit einem Standardsatz an IPSund Firewall-Richtlinien installiert werden. Neue Richtlinien mit aktualisierten Regeln können später vom Server per Push übertragen werden. • Gruppieren Sie die Clients logisch. Clients können nach beliebigen Kriterien gruppiert werden. Die Gruppierung muss allerdings zur Hierarchie der Systemstruktur passen. Beispiel: Sie können Clients nach ihrem geografischen Standort, ihrer Funktion im Unternehmen oder nach den Systemmerkmalen gruppieren. Client-Daten und ihre Auswertung Nachdem Sie die Clients erstellt und gruppiert haben, ist die Bereitstellung abgeschlossen. Ab diesem Zeitpunkt sollten durch die Aktivität der Clients bedingt Ereignisse angezeigt werden. Wenn Sie Clients in den adaptiven Modus versetzt haben, werden Client-Regeln angezeigt, die angeben, welche Client-Ausnahmeregeln erstellt werden. Die Analyse dieser Daten hilft Ihnen bei der Optimierung der Ausbringung. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 21 Verwalten Ihres Schutzes Richtlinienverwaltung Die Ereignisdaten werden unter Berichte auf der Registerkarte Host IPS auf der Registerkarte Ereignisse angezeigt. Sie können bis zur Detailansicht einzelner Ereignisse vordringen, um beispielsweise herauszufinden, welcher Prozess durch das Ereignis ausgelöst wurde, wann das Ereignis eingetreten ist und auf welchem Client. Durch Analyse der Ereignisse und das Ergreifen geeigneter Maßnahmen können Sie die Tätigkeit von Host Intrusion Prevention optimieren und besser auf Angriffe reagieren. Auf der Registerkarte Ereignisse werden alle Ereignisse in Host IPS angegeben, einschließlich NIPS, Angriffe auf die Firewall und TrustedSource-Blockierungen. Zur Analyse von Client-Regeln dienen die Registerkarten IPS-Client-Regeln und Firewall-Client-Regeln. Sie erkennen dort erstellte Regeln, die dann aggregiert werden können, um so die am häufigsten auftretenden Regeln herauszustellen. Diese können dann direkt in eine Richtlinie zur Anwendung auf weitere Clients verschoben werden. Darüber hinaus bietet Ihnen das Berichtsmodul von ePolicy Orchestrator detaillierte Berichte auf der Grundlage von Ereignissen, Client-Regeln und der Konfiguration von Host Intrusion Prevention. Mithilfe dieser Berichtsabfragen können Sie andere Mitglieder Ihres Teams und Vorgesetzte über Aktivitäten in Ihrer Umgebung informieren. Adaptiver Modus Ein wichtiger Bestandteil bei der Optimierung besteht darin, Host Intrusion Prevention-Clients für IPS und Firewall in den adaptiven Modus zu setzen. So können Computer Client-Ausnahmeregeln für Verwaltungsrichtlinien erstellen. Im adaptiven Modus erfolgt dies automatisch und ohne Benutzereingaben. In diesem Modus werden Ereignisse zuerst auf schwerwiegende Angriffe wie beispielsweise Pufferüberläufe geprüft. Wenn die Aktivität als regulär und für das Unternehmen erforderlich eingestuft wird, werden Client-Ausnahmeregeln erstellt. Indem repräsentative Clients in den adaptiven Modus gesetzt werden, können Sie eine zugehörige Optimierungskonfiguration erstellen. Anschließend können eine beliebige, alle oder gar keine Client-Regeln in Host Intrusion Prevention ausgewählt und in Server-Richtlinien umgewandelt werden. Nach der Optimierung deaktivieren Sie den adaptiven Modus, um den Schutz vor Systemeindringlingen zu verstärken. • Führen Sie die Clients mindestens eine Woche im adaptiven Modus aus. Dieser Zeitraum ist notwendig, damit die Clients alle normalerweise auftretenden Aktivitäten erkennen. Versuchen Sie, den Modus während geplanter Aktivitäten anzuwenden – beispielsweise während einer Datensicherung oder bei der Skriptverarbeitung. • Während die einzelnen Aktivitäten stattfinden, werden IPS-Ereignisse erzeugt und Ausnahmen erstellt. Bei Ausnahmen handelt es sich um Aktivitäten, die als berechtigtes Verhalten gelten. Beispiel: eine Richtlinie betrachtet bestimmte Skriptverarbeitungsvorgänge als unzulässig, bestimmte Systeme Ihrer Entwicklungsabteilungen sind aber auf diese Vorgänge angewiesen. Durch das Erstellen von Ausnahmen für solche Systeme wird deren fortgesetzte Nutzung ermöglicht, während die Richtlinie diese Aktivität auf anderen Systemen weiterhin verhindert. Nehmen Sie diese Ausnahmen in einer Server-Richtlinie auf, die nur für die Gruppe der Entwicklungsabteilung gilt. • Möglicherweise benötigen Sie bestimmte Software-Anwendungen im Normalfall nur in gewissen Unternehmensbereichen, aber nicht in anderen. Beispiel: Sie lassen Instant Messaging für die Kundendienstabteilung zu, verhindern die Verwendung aber in der Finanzabteilung. Sie können die Anwendung auf den Systemen im Bereich technischer Support als vertrauenswürdig einstufen, damit Benutzer vollständigen Zugriff darauf haben. • Die Firewall-Funktion fungiert als Filter zwischen einem Computer und dem Netzwerk oder dem Internet. Die Firewall prüft sämtlichen eingehenden und ausgehenden Datenverkehr auf Paketebene. Beim Prüfen der einzelnen ein- oder ausgehenden Pakete kontrolliert die Firewall die Liste der Firewall-Regeln, die einen Satz von Kriterien und zugehörigen Aktionen 22 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Verwalten Ihres Schutzes Richtlinienverwaltung enthält. Wenn ein Paket mit allen Kriterien einer Regel übereinstimmt, führt die Firewall die von der Regel vorgegebene Aktion durch, d. h., sie lässt das Paket entweder passieren oder sie blockiert es. Häufig gestellte Fragen: Adaptiver Modus Der adaptive Modus ist eine Einstellung, die beim Testen neuer Richtlinien auf IPS- und Firewall-Funktionen angewendet werden kann. Mit ihm kann der Host Intrusion Prevention-Client automatisch Regeln zur Zulassung von Aktivitäten erstellen und dennoch einen minimalen Schutz vor Sicherheitslücken beibehalten. Folgende Fragen und Antworten illustrieren die Verwendung der Funktion. Wie wird der adaptive Modus aktiviert? Der adaptive Modus wird durch Aktivierung der zugehörigen Option in der Richtlinie für IPS-Optionen oder Firewall-Optionen und durch Anwendung dieser Richtlinie auf dem Host Intrusion Prevention-Client aktiviert. Wie funktioniert der adaptive Modus mit IPS und Firewall? Im Zusammenhang mit IPS erstellt der adaptive Modus client-seitige Regeln, die für bestehende IPS-Signaturen als Ausnahmen fungieren. Im Zusammenhang mit der Firewall erstellt der adaptive Modus client-seitige Regeln, mit denen Netzwerkpakete, für die es keine Firewall-Regeln gibt, zugelassen werden. IPS-Client-Ausnahmen werden pro Benutzer, Prozess und Signatur erstellt und sind pfadbasiert. Firewall-Client-Regeln werden pro Prozess erstellt. Die den Firewall-Client-Regeln zugewiesenen Prozesse beruhen auf Pfad, Dateibeschreibung, digitaler Signatur und MD5-Hash. Wann werden Regeln im adaptiven Modus nicht automatisch erstellt? Mit IPS: • Die Signatur in der geltenden Richtlinie für IPS-Regeln lässt keine Erstellung von Client-Regeln zu. (Bei den meisten IPS-Signaturen mit hohem Schweregrad ist dies die Standardeinstellung. Diese Signaturen werden so optimiert, dass die gefährlichsten Systembedrohungen entdeckt und verhindert werden. Daher ist es unwahrscheinlich, dass für die reguläre Geschäftstätigkeit eine automatisierte Ausnahme erforderlich ist.) • Die Reaktion auf die Signatur ist "Ignorieren." • Die zugehörige Aktion löst eine Netzwerk-IPS-Signatur aus. • Ein Benutzer versucht, den McAfee Host IPS-Dienst unabhängig von der Einstellung der Client-Regel für den Dienstselbstschutz in Signatur 1000 anzuhalten. • Es gibt bereits eine Ausnahme in einer angewendeten Richtlinie für IPS-Regeln, mit der der Vorgang ausgeschlossen wird. • Der der Aktion zugewiesene Prozess wird in einer geltenden Richtlinie für vertrauenswürdige Anwendungen als vertrauenswürdig für IPS angesehen. Die Signatur wird nicht aus den vertrauenswürdigen Anwendungen ausgeschlossen. Mit der Firewall: • Dem Paket wird bei Analyse im Client-Aktivitätsprotokoll keine Anwendung zugewiesen. Typische Beispiele: • Eingehende Anforderungen hinsichtlich Diensten, die nicht ausgeführt werden, wie beispielsweise das Dateiübertragungsprotokoll FTP oder Telnet. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 23 Verwalten Ihres Schutzes Richtlinienverwaltung • Eingehendes Internet Control Message Protocol (ICMP), wie beispielsweise Echoanforderungen. • Ein- oder ausgehendes ICMP unter Microsoft Windows Vista. • Pakete des Transmission Control Protocol (TCP) an Port 139 (NetBIOS SSN) oder 445 (MSDS), die mitunter für die Dateifreigabe in Windows benötigt werden. • Pakete des Internet Protocol Security (IPsec), die im Zusammenhang mit Client-Lösungen für virtuelle private Netzwerke (VPN) stehen. • In der Richtlinie für Firewall-Regeln gibt es bereits eine Regel, mit der Pakete blockiert oder zugelassen werden. • Die geltende Richtlinie umfasst eine standortabhängige Gruppe mit aktivierter Konnektivitätsisolation, die Gruppe stimmt mit einer aktiven Netzwerkschnittstellenkarte (NIC) überein, und das Paket wird an eine NIC gesendet oder von einer NIC empfangen, die nicht mit der Gruppe übereinstimmt. • Das Paket ist weder ein TCP-, noch ein UDP- oder ICMP-Paket. • Mehr als ein Benutzer ist im System angemeldet, oder kein Benutzer ist angemeldet. Gibt es weitere Einschränkungen? • Bei einigen Client-Regeln entdeckt IPS den diesen zugewiesenen Benutzer mitunter nicht (dies wird in ePolicy Orchestrator in der Client-Regel als "Domäne unbekannt/Benutzer unbekannt" angezeigt). Bei diesen Client-Regeln können nach wie vor Ausnahmen erstellt werden; sie gelten dann aber für alle Benutzer. • Bei einigen eingehenden TCP-Verbindungen wie "Remote Desktop" oder "Hypertext Transfer Protocol over Secure Socket Layer" (HTTPS) sind zur Erstellung einer Firewall-Regel möglicherweise mehrere Versuche erforderlich. Host IPS-Richtlinienmigration Richtlinien von McAfee Host Intrusion Prevention Version 6.1 oder 7.0 können erst dann mit Clients der Version 8.0 verwendet werden, nachdem Version 6.1 oder 7.0 auf Version 8.0 migriert wurde. In Host Intrusion Prevention 8.0 lassen sich Richtlinien mithilfe der unter Automatisierung befindlichen Funktion Host IPS-Richtlinienmigration von ePolicy Orchestrator einfach migrieren. Bei der Migration werden die Richtlinie umgewandelt und verschoben. Nachdem eine Richtlinie migriert wurde, wird sie in der entsprechenden Funktion von Host IPS 8.0 des Richtlinienkatalogs angezeigt. Der Name der Richtlinie weist am Ende die Ergänzung [6.1] oder [7.0] auf. Mit Ausnahme folgender Richtlinien werden alle Richtlinien in Richtlinien von Version 8.0 umgewandelt: • Richtlinien für Optionen zur Anwendungsblockierungen werden nicht migriert (in Version 8.0 wurden diese Richtlinien entfernt). • Richtlinien für Anwendungsblockierregeln werden in Richtlinien für IPS-Regeln mit der Bezeichnung "Schutz vor dem Einklinken von Anwendungen und Aufrufschutz <Name> [6.1 oder 7.0]" migriert (in Version 8.0 wurden diese Richtlinien entfernt). Nach der Migration in die Richtlinien für IPS-Regeln sind die entsprechenden Listen der Anwendungsschutzregeln leer. Die Ausnahmeliste enthält Ausnahmen für alle standardmäßigen vertrauenswürdigen Anwendungen, die auf "Für Einklinken von Anwendungen vertrauenswürdig" gesetzt sind. Damit diese migrierte Richtlinie verwendet werden kann, muss außerdem die 24 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Verwalten Ihres Schutzes Richtlinienverwaltung IPS-Regelrichtlinie "Mein Standard" in einem Kontext mit mehreren Richtlinien zugewiesen werden, da sie die neueste Anwendungsschutzliste enthält. HINWEIS: Anwendungen, deren Einklinken in Richtlinien für Anwendungsblockierregeln blockiert wird, werden nicht migriert und müssen den in der IPS-Regelrichtlinie enthaltenen Anwendungsschutzregeln nach der Migration von Hand hinzugefügt werden. Wird eine Richtlinie für vertrauenswürdige Anwendungen mit der Kennzeichnung "Für Einklinken von Anwendungen vertrauenswürdig" auf Version 8.0 migriert, muss für diese Anwendung in Signatur 6010 (Allgemeiner Schutz vor dem Einklinken von Anwendungen) einer Richtlinie für Host IPS-Regeln eine Ausnahme erstellt werden, um den Schutz vor dem Einklinken von Anwendungen aufrecht zu erhalten. • Richtlinien für Firewall-Quarantäne-Optionen werden nicht migriert (in Version 8.0 wurden diese Richtlinien entfernt). • Richtlinien für Firewall-Quarantäne-Regeln werden nicht migriert (in Version 8.0 wurden diese Richtlinien entfernt). • IPS-Client-Regeln und Firewall-Client-Regeln werden nicht migriert. HINWEIS: Die Richtlinienzuweisungen werden bei der Migration übernommen. Wird die Vererbung an einem Punkt in der Systemstruktur unterbrochen, wird die Zuweisung zwar nicht überschrieben, aber die Vererbung kann an einem anderen Punkt in der Systemstruktur unterbrochen werden, da migrierte Zuweisungen zusammengeführt werden. Prüfen Sie nach einer Migration daher immer die Richtlinienzuweisung. Direktes Migrieren von Richtlinien Nach Installation der Erweiterung von Host Intrusion Prevention 8.0 lassen sich alle vorhandenen Richtlinien am einfachsten durch eine direkte Richtlinienmigration migrieren. 1 Klicken Sie auf Automatisierung | Host IPS-Richtlinienmigration. 2 Klicken Sie im ePO-Richtlinienkatalog unter Aktionen für Host IPS 6.1 oder 7.0 auf Migrieren. 3 Klicken Sie nach abgeschlossener Migration auf Schließen. Alle Richtlinien der Version 6.1/7.0 von IPS, Firewall und der Funktion "Allgemein" werden in Version 8.0 umgewandelt und mit dem Zusatz [6.1] oder [7.0 ] hinter ihrem Namen angezeigt. HINWEIS: Wird die Migration ein zweites Mal ausgeführt, werden sämtliche zuvor migrierte Richtlinien mit dem gleichen Namen überschrieben. Bei diesem Prozess gibt es keine Ausnahmen. Alle vorhandenen Richtlinien von Version 6.1 oder 7.0 werden migriert. Wenn Sie nur ausgewählte Richtlinien migrieren möchten, muss dies durch ein XML-Dateiverfahren erfolgen. Migrieren von Richtlinien mit einer XML-Datei Wenn die Erweiterung von Host Intrusion Prevention 6.1/7.0 nicht installiert ist und Sie ausgewählte Richtlinien zuvor in eine XML-Datei exportiert haben, oder wenn Sie nicht alle Richtlinien der Version 6.1/7.0, sondern nur bestimmte Richtlinien migrieren möchten, erfolgt die Migration mithilfe einer XML-Datei. Dabei werden einzelne Richtlinien von Host Intrusion Prevention 6.1/7.0 zuerst in das XML-Format exportiert, die Inhalte dann in Richtlinienversionen von Host Intrusion Prevention 8.0 umgewandelt und die migrierten XML-Dateien dann in den ePO-Richtlinienkatalog importiert. 1 Klicken Sie auf Automatisierung | Host IPS-Richtlinienmigration. 2 Klicken Sie in einer XML-Datei unter Aktionen für Host IPS 6.1 oder 7.0 auf Migrieren. 3 Wählen Sie die zuvor exportierte XML-Datei von Host IPS Version 6.1 oder 7.0 aus, und klicken Sie auf OK. Die XML-Datei wird in das Format 8.0 umgewandelt. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 25 Verwalten Ihres Schutzes Systemverwaltung 4 Klicken Sie mit der rechten Maustaste auf die umgewandelte Datei "MigratedPolicies.xml", und speichern Sie sie zu Importzwecken. 5 Importieren Sie die XML-Datei in den ePO-Richtlinienkatalog. Systemverwaltung Beim Verwalten der Ausbringung von Host Intrusion Prevention sind gelegentlich systematische Aufgaben durchzuführen. Zu diesen gehört das Einrichten von Benutzerberechtigungen, Server-Tasks, Benachrichtigungen und Inhaltsaktualisierungen. Host IPS-Berechtigungssätze Ein Berechtigungssatz ist eine Gruppe von Berechtigungen, die einem Benutzerkonto für bestimmte Produkte oder Produktfunktionen zugewiesen werden. Berechtigungssätze können einzeln oder kombiniert zugewiesen werden. Globale Administratoren erhalten automatisch sämtliche Berechtigungen für Produkte und Funktionen. Berechtigungssätze dienen nur der Vergabe, nicht aber dem Entzug von Berechtigungen. Globale Administratoren können bestehende Berechtigungssätze beim Erstellen oder Bearbeiten von Benutzerkonten oder der Berechtigungssätze zuweisen. Mithilfe der Host Intrusion Prevention-Erweiterung wird den Berechtigungssätzen ein weiterer Host Intrusion Prevention-Abschnitt hinzugefügt, ohne dabei Berechtigungen anzuwenden. Die globalen Administratoren müssen für vorhandenen Berechtigungssätze Host IPS-Berechtigungen gewähren oder neue Berechtigungssätze erstellen und hinzufügen. Mit Host Intrusion Prevention lässt sich für jede Produktfunktion eine Berechtigung erteilen, und auch dafür, ob der Benutzer nur Leseberechtigung oder Schreib-/Leseberechtigung hat. Dies gilt sowohl für die unter den Berichten angegebenen Host Intrusion Prevention-Richtlinienseiten als auch die Host Intrusion Prevention-Ereignis- und Client-Regelseiten. Host IPS-Funktion Verfügbare Berechtigungen IPS Keine, nur Einstellungen anzeigen oder Einstellungen anzeigen und ändern. Firewall Keine, nur Einstellungen anzeigen oder Einstellungen anzeigen und ändern. Allgemein Keine, nur Einstellungen anzeigen oder Einstellungen anzeigen und ändern. Der globale Administrator muss auch ePolicy Orchestrator-Berechtigungen für das Arbeiten mit anderen Objekten aus Host Intrusion Prevention vergeben, wie beispielsweise für Abfragen und Dashboards. Um beispielsweise die auf den Host IPS-Seiten unter den Berichten stehenden Firewall-Client-Regeln zu analysieren und zu verwalten, braucht ein Benutzer die Berechtigung, das Ereignisprotokoll, das System und die Systemstruktur anzuzeigen sowie die Berechtigung, die Firewall-Funktion in Host Intrusion Prevention anzuzeigen und zu ändern. Tabelle 3: Berechtigungen für das Arbeiten mit verschiedenen Funktionen 26 Host IPS-Funktion Erforderliche Berechtigungssätze Host IPS-Dashboards Dashboards, Abfragen Host IPS-Abfragen Abfragen Host IPS-Client-Ereignisse und Client-Regeln Systeme, Zugriff auf Systemstruktur, Bedrohungsereignisprotokoll McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Verwalten Ihres Schutzes Systemverwaltung Host IPS-Funktion Erforderliche Berechtigungssätze Host IPS-Server-Tasks Server-Tasks Host IPS-Pakete im Repository Software Automatische Antworten von Host IPS Automatische Antworten, Ereignisbenachrichtigungen, Client-Ereignisse Weitere Informationen über Berechtigungssätze entnehmen Sie der Dokumentation zu ePolicy Orchestrator. Zuweisen von Berechtigungssätzen Mit dieser Vorgehensweise werden Host Intrusion Prevention-Funktionen auf dem ePO-Server Berechtigungen zugewiesen. Bevor Sie beginnen Bestimmen Sie die Host Intrusion Prevention-Funktionen, die Zugriff haben sollen, sowie die zusätzlichen Berechtigungssätze, die zugewiesen werden müssen, damit auf alle Teile der Host Intrusion Prevention-Funktion zugegriffen werden kann. Um beispielsweise Client-Regeln anzuzeigen, muss ein Benutzer die Berechtigung für die Firewall-Funktion im Host Intrusion Prevention-Berechtigungssatz sowie für die Berechtigungssätze von Ereignisprotokoll, Systemen und Systemstruktur haben. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberfläche auf das ? klicken. 1 Klicken Sie auf Menü | Benutzerverwaltung | Berechtigungssätze. 2 Klicken Sie neben Host Intrusion Prevention auf Bearbeiten. 3 Wählen Sie für die einzelnen Funktionen die gewünschte Berechtigung aus. • Keine • Nur Einstellungen anzeigen • Einstellungen anzeigen und ändern 4 Klicken Sie auf Speichern. 5 Weisen Sie nach Bedarf andere Berechtigungssätze zu. Host IPS-Funktion Zuzuweisender Berechtigungssatz Host IPS-Ereignisse Host Intrusion Prevention – IPS, Ereignisprotokoll, Systeme, Systemstrukturzugriff Host IPS-Client-IPS-Regeln Host Intrusion Prevention – IPS, Ereignisprotokoll, Systeme, Systemstrukturzugriff Host IPS-Client-Firewall-Regeln Host Intrusion Prevention – Firewall, Ereignisprotokoll, Systeme, Systemstrukturzugriff Host IPS-Dashboards Dashboard, Abfragen Host IPS-Abfragen Abfragen McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 27 Verwalten Ihres Schutzes Systemverwaltung Host IPS-Server-Tasks Host Intrusion Prevention enthält mehrere bereits konfigurierte und konfigurierbare Server-Tasks, die Sie nach einem Zeitplan oder sofort im Zusammenhang mit dem Schutz von Host Intrusion Prevention ausführen können. Benutzerdefinierte Server-Tasks können in Host Intrusion Prevention im Generator für Server-Tasks auf der Registerkarte Aktionen durch Klicken auf Neuer Task und Auswahl mindestens einer Host IPS-Eigenschaften erstellt werden. Weitere Informationen über Verwendung und Erstellung von Server-Tasks entnehmen Sie der Dokumentation zu ePolicy Orchestrator. Um mit vorhandenen Server-Tasks zu arbeiten, gehen Sie zu Menü | Automatisierung | Server-Tasks, und klicken Sie unter Aktionen auf den gewünschten Befehl. Einen benutzerdefinierten Server-Task erstellen Sie durch Klicken auf Neuer Task und Durchführung der Schritte im Assistenten für Server-Tasks. Tabelle 4: Vorkonfigurierte und benutzerdefinierte Server-Tasks Server-Task Beschreibung Host IPS-Eigenschaftenübersetzung (vorkonfiguriert) Mit diesem Server-Task werden in der Datenbank von ePolicy Orchestrator gespeicherte Client-Regeln vonHost Intrusion Prevention übersetzt, um damit Daten in Host Intrusion Prevention sortieren, anordnen und filtern zu können. Der Task wird automatisch alle 15 Minuten ausgeführt und erfordert keinerlei Benutzereingaben. Sind sofort Ergebnisse zu Aktionen auf dem Client erforderlich, kann er auch von Hand ausgeführt werden. Repository-Abruf (benutzerdefiniert) Mit diesem Server-Task können Sie einen benutzerdefinierten Task erstellen, um Pakete von einer Quellsite zu empfangen und im Master-Repository abzulegen. Sollen Inhaltsaktualisierungen automatisch empfangen werden, wählen Sie als Pakettyp Host IPS-Inhalt aus. Abfrage ausführen (benutzerdefiniert) Dieser Server-Task dient zur Erstellung eines benutzerdefinierten Tasks, mit dem vorkonfigurierte Abfragen in Host Intrusion Prevention entsprechend einem Zeitplan ausgeführt werden können. Bedrohungsereignisprotokoll bereinigen (benutzerdefiniert) Mit diesem Server-Task können Sie einen benutzerdefinierten Task zur Reinigung von Bedrohungsereignisprotokollen auf Grundlage einer Host Intrusion Prevention-Abfrage erstellen. Wählen Sie eine aus dem Ereignisprotokoll zu löschende Abfrage für Host IPS-Ereignisse aus. Richtlinien exportieren (benutzerdefiniert) Mit diesem Server-Task lassen sich XML-Dateien mit der zugehörigen Host Intrusion Prevention-Richtlinie herunterladen. Abfragen exportieren (benutzerdefiniert) Dieser Server-Task ermöglicht die Erstellung einer Host Intrusion Prevention-Abfragenausgabedatei zum Speichern oder Versenden per E-Mail. Host IPS-Ereignisreaktionen Mit automatischen Antworten werden Sie über alle Ereignisse informiert, die auf Client-Systemen mitHost Intrusion Prevention auftreten. Sie können für bestimmte Ereignisse, die vom ePolicy Orchestrator-Server empfangen und verarbeitet werden, Antworten konfigurieren. Es gibt folgende Möglichkeiten: • Erstellen von Problemen 28 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Verwalten Ihres Schutzes Systemverwaltung • Ausführen geplanter Tasks • Ausführen externer Befehle • Senden von SNMP-Traps • Senden von E-Mails Sie können die für Host Intrusion Prevention spezifischen Ereigniseigenschaften angeben, die eine Reaktion auslösen, sowie die Häufigkeit, mit der Antworten gesendet werden. Ausführliche Informationen hierzu finden Sie in der Dokumentation von ePolicy Orchestrator 4.5. Vorbereiten der Erstellung automatischer Antworten Voraussetzungen für die Erstellung automatischer Antworten: 1 Machen Sie sich mit automatischen Antworten und deren Funktionsweise in der Systemstruktur und im Netzwerk vertraut. 2 Planen Sie die Implementierung, und beachten Sie dabei, dass bestimmte Benutzer über bestimmte Ereignisse informiert werden sollten. 3 Bereiten Sie die Komponenten und Berechtigungen vor, die im Zusammenhang mit automatischen Antworten benötigt werden. Dazu gehören: • Berechtigungen für automatische Antworten: Erstellen oder bearbeiten Sie Berechtigungssätze, und stellen Sie sicher, dass diese den entsprechenden ePO-Benutzern zugewiesen sind. • E-Mail-Server: Konfigurieren Sie den E-Mail-Server (SMTP) mithilfe der Servereinstellungen. • Liste der E-Mail-Kontakte: Geben Sie in den Kontakten die Liste an, aus der Sie die Empfänger der Benachrichtigungen auswählen. • Registrierte ausführbare Dateien: Geben Sie eine Liste mit registrierten ausführbaren Dateien an, die ausgeführt werden sollen, wenn die Bedingungen einer Regel erfüllt sind. • Server-Tasks: Erstellen Sie Server-Tasks, die infolge einer Antwortregel als Aktion ausgeführt werden sollen. • SNMP-Server: Geben Sie eine Liste von SNMP-Servern an, die beim Erstellen von Regeln verwendet werden sollen. Sie können Regeln konfigurieren, um SNMP-Traps an SNMP-Server zu senden, wenn die Bedingungen zum Erstellen einer Benachrichtigung erfüllt sind. Tipps zur Verwendung automatischer Antworten Die für Informationen in Host Intrusion Prevention spezifischen erweiterten Eigenschaften von Host IPS sind beim Einrichten von Filtern, Aggregieren von Ereignissen und Konfigurieren von Aktionen für eine Regel beteiligt. Um diese Eigenschaften nutzen zu können, stellen Sie die Ereignisgruppe auf ePO-Benachrichtigungsereignisse, und wählen Sie den Ereignistyp Bedrohung aus. Tabelle 5: Erweiterte Eigenschaften in Host IPS Eigenschaften Wert API-Name Name der überwachten API, die ein Ereignis ausgelöst hat Richtung Ein/Aus/Beide Host IPS-Ereignisbeschreibung Ausführliche Informationen zu einem Ereignis McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 29 Verwalten Ihres Schutzes Systemverwaltung Eigenschaften Wert Lokale IP-Adresse Lokale IP-Adresse des vom Ereignis betroffenen Systems Prozess-ID Pfad zur ausführbaren Datei einer Bedrohungsquelle Protokoll IP-Protokoll (UDP, TCP, ICMP) Remote-IP-Adresse Remote-IP-Adresse des vom Ereignis betroffenen Systems Name der Arbeitsstation Name des vom Ereignis betroffenen Systems Aktualisierungen des Host IPS-Schutzes Host Intrusion Prevention unterstützt mehrere Versionen von Client-Inhalten und -Code, wobei der aktuell verfügbare Inhalt in der ePO-Konsole angezeigt wird. Neue Inhalte werden immer in aufeinander folgenden Versionen unterstützt, sodass Inhaltsaktualisierungen hauptsächlich neue Informationen oder geringfügige Änderungen an bestehenden Informationen enthalten. Aktualisierungen werden mithilfe eines Pakets durchgeführt. Dieses Paket enthält Inhaltsversionsinformationen und Skriptaktualisierungen. Beim Einchecken wird die Paketversion mit der Version der aktuellen Inhaltsinformationen in der Datenbank verglichen. Wenn das Paket neuer ist, werden die Skripts aus diesem Paket extrahiert und ausgeführt. Diese neuen Inhaltsinformationen werden anschließend bei der nächsten Kommunikation zwischen Agent und Server an Clients weitergeleitet. Aktualisierungen beinhalten Daten, die sich auf die Richtlinie für IPS-Regeln (IPS-Signaturen und Anwendungsschutzregeln) und die Richtlinie für vertrauenswürdige Anwendungen (vertrauenswürdige Anwendungen) beziehen. Da diese Aktualisierungen in der McAfee-Standardrichtlinie vorkommen, müssen die Richtlinien im Hinblick auf den aktualisierten Schutz sowohl für IPS-Regeln als auch vertrauenswürdige Anwendungen zugewiesen werden. Der grundlegende Prozess umfasst das Einchecken des Inhaltspakets in das ePO-Master-Repository und das anschließende Senden der aktualisierten Informationen an die Clients. Die Clients erhalten Aktualisierungen nur über die Kommunikation mit dem ePO-Server und nicht direkt über FTP- oder HTTP-Protokolle. TIPP: Um bestmöglich von Inhaltsaktualisierungen zu profitieren, weisen Sie stets die McAfee-Standardrichtlinien für IPS-Regeln und vertrauenswürdige Anwendungen zu. Werden diese Standardrichtlinien geändert, werden die Änderungen nicht mit einer Aktualisierung überschrieben, da Änderungen an den Einstellungen dieser Richtlinien Vorrang vor Standardeinstellungen haben. Einchecken von Aktualisierungspaketen Sie können einen ePO-Pull-Task erstellen, mit dem Pakete zur Inhaltsaktualisierung automatisch in das Master-Repository eincheckt werden. Durch diesen Task wird das Aktualisierungspaket so oft wie angegeben direkt von McAfee heruntergeladen. Das Paket wird anschließend dem Master-Repository hinzugefügt, wodurch die Datenbank mit neuen Host Intrusion Prevention-Inhalten aktualisiert wird. Task 30 1 Klicken Sie auf Menü | Software | Master-Repository, und klicken Sie dann auf Aktionen | Abrufen planen. 2 Benennen Sie den Task, beispielsweise HIP-Inhaltsaktualisierungen, und klicken Sie auf Weiter. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Verwalten Ihres Schutzes Systemverwaltung 3 Wählen Sie als Tasktyp Repository-Abruf aus, dann die Paketquelle (McAfeeHttp oder McAfeeFtp), den Zweig, für den das Paket bestimmt ist (Aktuell, Vorherig, Bewertung) und ein ausgewähltes Paket (Host Intrusion Prevention-Inhalt), und klicken Sie dann auf Weiter. 4 Planen Sie den Task wie erforderlich, und klicken Sie auf Weiter. 5 Prüfen Sie die Angaben, und klicken Sie auf Speichern. Manuelles Einchecken von Paketen Durch diesen Task wird das Aktualisierungspaket so oft wie angegeben direkt von McAfee heruntergeladen. Das Paket wird anschließend dem Master-Repository hinzugefügt, wodurch die Datenbank mit neuen Host Intrusion Prevention-Inhalten aktualisiert wird. Wenn Sie keinen automatischen Pull-Task nutzen möchten, können Aktualisierungspakete auch von Hand heruntergeladen und eingecheckt werden. Task 1 Laden Sie die Datei von McAfeeHttp oder McAfeeFtp herunter. 2 Klicken Sie auf Menü | Software | Master-Repository, und klicken Sie dann auf Aktionen | Paket einchecken. 3 Wählen Sie den Typ und den Speicherort des Pakets aus, und klicken Sie auf Weiter. Daraufhin wird die Seite Paketoptionen angezeigt. 4 Wählen Sie den Zweig aus, wo das Paket installiert werden soll, und klicken Sie auf Speichern. Das Paket wird auf der Registerkarte Master-Repository angezeigt. Aktualisieren der Clients mit Inhalten Nachdem das Aktualisierungspaket in das Master-Repository eingecheckt wurde, können Sie Aktualisierungen an den Client senden, indem Sie entweder einen Aktualisierungs-Task einrichten oder zur umgehenden Aktualisierung eine Agenten-Reaktivierung senden. Task 1 Öffnen Sie Systeme | Systemstruktur | Client-Tasks, und wählen Sie die Gruppe aus, die Inhaltsaktualisierungen erhalten soll. Klicken Sie anschließend auf Neuer Task. 2 Geben Sie einen Namen und eine Beschreibung für den Task ein, und wählen Sie als Tasktyp Produktaktualisierung aus. Klicken Sie dann auf Weiter. 3 Wählen Sie Ausgewählte Pakete und anschließend Host Intrusion Prevention-Inhalt aus, und klicken Sie dann auf Weiter. 4 Planen Sie den Task bedarfsgerecht ein, und klicken Sie auf Weiter. 5 Prüfen Sie die Angaben, und klicken Sie auf Speichern. Aktualisieren von Inhalten auf einem Client Ein Client kann auch bei Bedarf Aktualisierungen anfordern, wenn ein McAfee Agent-Symbol in der Taskleiste des Clients angezeigt wird. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 31 Verwalten Ihres Schutzes Systemverwaltung Task • Klicken Sie mit der rechten Maustaste auf das Symbol für McAfee Agent in der Taskleiste, und wählen Sie Jetzt aktualisieren aus. Das Dialogfeld McAfee AutoUpdate-Status wird angezeigt, und Inhaltsaktualisierungen werden abgerufen und auf den Client angewendet. 32 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von IPS-Richtlinien IPS-Richtlinien aktivieren und deaktivieren den IPS-Schutz, legen die Reaktionsebene für Ereignisse fest und bieten Schutz durch Ausnahmen, Signaturen und Anwendungsschutzregeln. Damit der IPS-Schutz immer aktuell ist, gibt es monatliche Inhaltsaktualisierungen. Diese enthalten neue und überarbeitete Signaturen und Anwendungsschutzregeln. Inhalt Übersicht der IPS-Richtlinien Aktivieren des IPS-Schutzes Festlegen der Reaktion auf IPS-Signaturen Festlegen des IPS-Schutzes Überwachen von IPS-Ereignissen Überwachen von IPS-Client-Regeln Übersicht der IPS-Richtlinien Mit IPS (Intrusion Prevention System) werden alle Systemaufrufe (Kernel-Ebene) und API-Aufrufe (Benutzerebene) überwacht und potenziell gefährliche Aufrufe blockiert. Host Intrusion Prevention bestimmt, welcher Prozess einen Aufruf verwendet, den Sicherheitskontext, in dem der Prozess ausgeführt wird, und die Ressource, auf die zugegriffen wird. Ein Treiber auf Kernel-Ebene, der umgeleitete Einträge in der Systemaufruftabelle im Benutzermodus erhält, überwacht die Systemaufrufkette. Wenn Aufrufe erfolgen, vergleicht der Treiber die Aufrufanforderung mit einer Datenbank, die kombinierte Signaturen und Verhaltensregeln enthält, um zu bestimmen, ob eine Aktion erlaubt, blockiert oder protokolliert werden soll. Diese Hybridmethode zur Identifikation von Angriffen entdeckt die bekanntesten Angriffe und auch zuvor unbekannte oder Zero-Day-Angriffe. Der Schutz erfolgt auch über Ausnahmen, mit denen Signaturen überschrieben werden, die zulässige Aktivitäten blockieren. Ein weiterer Bestandteil sind Anwendungsschutzregeln, die bestimmen, welche Prozesse zu schützen sind. Verfügbare Richtlinien Es gibt drei IPS-Richtlinien: IPS-Optionen: Ermöglicht IPS-Schutz, indem der Schutz von Host- und Netzwerk-IPS an- und ausgeschaltet wird und speziell auf Windows zugeschnittene Optionen angewendet werden. IPS-Schutz: Bestimmt, wie das System reagieren soll (blockieren, ignorieren, protokollieren), wenn Signaturen eines bestimmten Schweregrades (hoch, mittel, niedrig) ausgelöst werden. IPS-Regeln: Bestimmt den IPS-Schutz, indem Signaturen und Verhaltensanalyse angewendet werden, um das System vor bekannten Angriffen und Zero-Day-Angriffen zu schützen. Ergänzt werden die Signaturen durch Ausnahmen, mit denen Signaturen überschrieben werden, die McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 33 Konfigurieren von IPS-Richtlinien Übersicht der IPS-Richtlinien zulässige Aktivitäten blockieren, sowie durch Anwendungsschutzregeln, mit denen die zu schützenden Prozesse bestimmt werden. Diese Richtlinienkategorie kann ebenso wie die Richtlinie Vertrauenswürdige Anwendungen mehrere Richtlinieninstanzen enthalten. Um den Schutz auf dem neuesten Stand zu halten, werden Inhaltsaktualisierungen mit neuen und aktualisierten Signaturen und Anwendungsschutzregeln bereitgestellt. Verfahren zur Bereitstellung von IPS-Schutz Realisiert wird der IPS-Schutz durch Abschirmung und Umhüllung, Abfangen von Systemaufrufen und die Installation bestimmter Module und Treiber. Abschirmung und Umhüllung Host Intrusion Prevention schützt Sie mit Abschirmungs- und Umhüllungssignaturen vor Angriffen. Die Umhüllungsstrategie sorgt dafür, dass Anwendungen außerhalb ihres eigenen Anwendungsbereichs nicht auf Dateien, Daten, Registrierungseinstellungen und Dienste zugreifen können. Bei der Abschirmung wird verhindert, dass auf Anwendungsdateien, Daten, Registrierungseinstellungen und Dienste außerhalb ihres eigenen Anwendungsbereichs missbräuchlich zugegriffen wird. Abfang von Systemaufrufen Mit Host Intrusion Prevention werden alle System- und API-Aufrufe überwacht und verdächtige Aktivitäten blockiert. Das Programm bestimmt den Prozess, den ein Aufruf verwendet, den Sicherheitskontext, in dem der Prozess ausgeführt wird, und die Ressource, auf die zugegriffen wird. Ein Treiber für Host Intrusion Prevention auf Kernel-Ebene, der umgeleitete Einträge in der Systemaufruftabelle im Benutzermodus erhält, überwacht die Systemaufrufkette. Wenn Aufrufe erfolgen, vergleicht der Treiber die Aufrufanforderung mit einer Datenbank, die kombinierte Signaturen und Verhaltensregeln enthält, um zu bestimmen, ob eine Aktion erlaubt, blockiert oder protokolliert werden soll. Programme auf Benutzerebene greifen mit der Kernel-Funktion auf Festplattenlaufwerke, Netzwerkverbindungen und freigegebene Speicher zu. Da der Prozessor den direkten Zugriff auf die Funktionen auf Kernel-Ebene verhindert, werden in den Programmen auf Benutzerebene Systemaufrufe verwendet, die eine Kommunikation zwischen Benutzer- und Kernel-Modus erlauben. Systemaufrufe haben alle Kernel-Funktionen, die für Programme auf Benutzerebene erforderlich sind. Sie werden mithilfe einer Systemaufruftabelle im Betriebssystem implementiert. Host Intrusion Prevention wird in den Systemaufruf eingefügt, indem ein Treiber auf Kernel-Ebene installiert und die Einträge der Systemaufruftabelle umgeleitet werden. Fordert eine Anwendung nun eine Datei an, wird diese an den Treiber von Host Intrusion Prevention weitergeleitet. Dieser prüft die Anforderung anhand seiner Signaturen und Verhaltensregeln und ermittelt so, ob die Anforderung zuzulassen oder zu blockieren ist. HTTP-Modul für Web-Server Host Intrusion Prevention schützt mit dem HTTP-Schutzmodul vor Angriffen auf Web-Anwendungen und Systeme. Dazu wird der in eine Anwendung eingehende HTTP-Datenstrom analysiert und anhand von Mustern in eingehenden HTTP-Anforderungen abgeglichen. Das HTTP-Schutzmodul wird zwischen dem SSL-Verschlüsselungs- und Entschlüsselungselement des Web-Servers, das Anfragen in reinen Text umwandelt und dem Web-Server Modul installiert. So wird gewährleistet, dass Anforderungen im Modul von Host Intrusion Prevention in Klartext angezeigt und bösartige Anforderungen schon vor der Verarbeitung blockiert werden. HTTP-Signaturen verhindern Directory-Traversal- und Unicode-Angriffe, Verunstaltungen von Webseiten, Datendiebstahl und Server-Hacks. 34 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von IPS-Richtlinien Übersicht der IPS-Richtlinien SQL-Modul für SQL-Server Host Intrusion Prevention schützt mithilfe des SQL-Prüfmoduls vor Angriffen auf Datenbankserver. Das Prüfmodul wird zwischen den Netzwerkbibliotheken der Datenbank und dem Datenbankmodul installiert. Es dient der Untersuchung von SQL-Anforderungen und blockiert solche, die ein Ereignis auslösen könnten. Mithilfe von SQL-Schutzregeln, die je nach Benutzer verschieden sind, werden Ursprung und Gültigkeit einer Abfrage sowie andere Parameter abgefragt. SQL-Datenbanksignaturen beruhen auf dem Kernschutz von Standardsignaturen sowie hinzugefügten datenbankspezifischen Abfang- und Schutzregeln. Mit dem SQL-Modul von Host IPS werden eingehende Datenbankabfragen vor ihrer Verarbeitung durch das Datenbankmodul abgefangen. Jede Abfrage wird mit bekannten Angriffssignaturen verglichen und auf eine ordnungsgemäße Bildung sowie verdächtige Anzeichen einer SQL-Einschleusung geprüft. Mit SQL-Datenbanksignaturen werden Datenbanken zum Schutz ihrer Dateien, Dienste und Ressourcen abgeschirmt. Außerdem werden sie umhüllt, um eine ordnungsgemäße Funktion sicherzustellen. Signaturen Signaturen sind Sammlungen von Eindringungsschutzregeln, die mit einem Datenstrom abgeglichen werden können. Beispielsweise kann eine Signatur nach einer bestimmten Zeichenfolge in einer HTTP-Anforderung suchen. Wenn die Zeichenfolge mit einer Zeichenfolge eines bekannten Angriffs übereinstimmt, werden bestimmte Maßnahmen getroffen. Diese Regeln bieten Schutz vor bekannten Angriffen. Signaturen werden für bestimmte Anwendungen und bestimmte Betriebssysteme entworfen. Beispiele sind Web-Server, wie Apache und IIS. Die meisten Signaturen schützen das gesamte Betriebssystem. Einige schützen hingegen bestimmte Anwendungen. Host IPS-Signaturen Der Host Intrusion Prevention-Schutz befindet sich auf einzelnen Systemen wie Servern, Arbeitsstationen oder Notebooks. Der Host Intrusion Prevention-Client prüft den in ein System hinein- oder aus ihm hinausgehenden Datenverkehr und untersucht das Verhalten der Anwendungen und des Betriebssystems hinsichtlich möglicher Angriffe. Wenn ein Angriff entdeckt wird, kann der Client diesen im Bereich der Netzwerksegmentverbindung blockieren oder Befehle zur Beendigung des durch den Angriff ausgelösten Verhaltens ausgeben. Ein Buffer Overflow wird beispielsweise verhindert, indem schädliche Programme blockiert werden, die in den von einem Angriff ausgenutzten Adressraum eingefügt wurden. Die Installation von Hintertürprogrammen für Anwendungen wie Internet Explorer wird blockiert, indem der von der Anwendung ausgegebene Befehl zum Schreiben einer Datei abgefangen und abgelehnt wird. Leistungsspektrum dieser Signaturen: • Schützen vor Angriffen und deren Konsequenzen, beispielsweise vor dem Anlegen einer Datei. • Schützen Laptops außerhalb des geschützten Netzwerks vor Angriffen. • Schützen vor lokalen Angriffen über CDs oder USB-Geräte. Diese Angriffe sind häufig darauf ausgelegt, die Berechtigungen des Benutzers auf Root oder Administrator heraufzusetzen, um andere Systeme des Netzwerks zu beeinträchtigen. • Bilden die letzte Verteidigungslinie gegen Angriffe, die andere Sicherheitsmechanismen überwunden haben. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 35 Konfigurieren von IPS-Richtlinien Übersicht der IPS-Richtlinien • Verhindern interne Angriffe auf Geräte, die sich im selben Netzwerksegment befinden, oder deren Missbrauch. • Schützen vor Angriffen, bei denen ein verschlüsselter Datenstrom im zu schützenden System endet und die entschlüsselten Daten und das Verhalten untersucht werden. • Schützen Systeme in alten oder ungewöhnlichen Netzwerkarchitekturen wie beispielsweise Token Ring oder FDDI. Host Intrusion Prevention beinhaltet eine lange Standardliste mit Host IPS-Signaturen für sämtliche Plattformen. Schweregrad, Protokollstatus und die Einstellungen für die Erstellung von Client-Regeln dieser Signaturen können bearbeitet werden. Außerdem kann die Liste mit benutzerdefinierten Signaturen ergänzt werden. Bei Installation einer Inhaltsaktualisierung wird bei Bedarf auch die Signaturliste aktualisiert. Netzwerk-IPS-Signaturen Auch der NIPS-Schutz befindet sich auf einzelnen Systemen. Sämtliche Daten, die zwischen dem geschützten System und dem restlichen Netzwerk ausgetauscht werden, werden auf einen Angriff untersucht. Wird ein Angriff entdeckt, werden die verdächtigen Daten gelöscht oder am Passieren des Systems gehindert. Leistungsspektrum dieser Signaturen: • Schützen Systeme, die sich nachgelagert in einem Netzwerksegment befinden. • Schützen damit verbundene Server und Systeme. • Schützen vor Denial of Service-Angriffen gegen das Netzwerk und gegen bandbreitenorientierte Angriffe, die den Netzwerkverkehr verhindern oder einschränken. Host Intrusion Prevention beinhaltet eine Standardliste mit einigen wenigen Netzwerk-IPS-Signaturen für Windows-Plattformen. Schweregrad, Protokollstatus und die Einstellung zur Erstellung von Client-Regeln dieser Signaturen können bearbeitet werden. Benutzerdefinierte Netzwerksignaturen können derzeit aber nicht hinzugefügt werden. Bei Installation einer Inhaltsaktualisierung wird bei Bedarf auch die Signaturliste aktualisiert. Verhaltensregeln Verhaltensregeln dienen zur Blockierung von Zero-Day-Angriffen und zur Erzwingung eines regelgerechten Verhaltens von Betriebssystem und Anwendungen. Heuristische Verhaltensregeln definieren ein Profil mit legitimer Aktivität. Aktivitäten, die nicht mit diesen Regeln übereinstimmen, werden als verdächtig angesehen und lösen eine Reaktion aus. Beispielsweise kann eine Verhaltensregel besagen, dass nur ein Web-Server-Prozess auf HTML-Dateien zugreifen darf. Wenn ein anderer Prozess auf eine HTML-Datei zugreift, werden entsprechende Maßnahmen ergriffen. Dieser als Abschirmung und Umhüllung von Anwendungen bezeichnete Schutz beugt einer missbräuchlichen Nutzung von Anwendungen und ihrer Daten vor und verhindert, dass mithilfe von Anwendungen andere Anwendungen angegriffen werden. Daneben blockieren Verhaltensregeln die Ausnutzung von Pufferüberläufen und verhindern damit eine durch Buffer Overflow-Angriffe ausgelöste Ausführung von Code. Auf diese Weise werden Server und Desktops besonders häufig angegriffen. Reaktionen Eine Reaktion ist die Antwort eines Host Intrusion Prevention-Clients, wenn eine Signatur mit einem bestimmten Schweregrad ausgelöst wird. Ein Client reagiert auf eine der drei folgenden Arten: 36 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von IPS-Richtlinien Übersicht der IPS-Richtlinien • Ignorieren: Keine Reaktion; das Ereignis wird nicht protokolliert, und der Vorgang wird nicht verhindert. • Protokollieren: Das Ereignis wird protokolliert, aber der Vorgang wird nicht verhindert. • Verhindern: Das Ereignis wird protokolliert, und der Vorgang wird verhindert. Eine Sicherheitsrichtlinie kann z. B. Folgendes besagen: wenn ein Client eine Signatur mit einem niedrigen Schweregrad erkennt, protokolliert er das Vorkommen dieser Signatur und erlaubt den Vorgang. Wenn er dagegen eine Signatur mit einem hohen Schweregrad erkennt, verhindert er den Vorgang. HINWEIS: Die Protokollierung kann direkt für jede Signatur aktiviert werden. Mit der Richtlinie für den IPS-Schutz wird die Reaktion auf Signaturen automatisch anhand des Schweregrades festgelegt. Ausnahmen Mit einer Ausnahme werden Aktivitäten überschrieben, die von der Reaktion auf eine Signatur blockiert werden. In einigen Fällen kann das als Angriff definierte Verhalten Teil einer normalen Arbeitsroutine eines Benutzers sein oder eine Aktivität, die für eine geschützte Anwendung unbedenklich ist. Um diese Signatur außer Kraft zu setzen, können Sie eine Ausnahme erstellen, die solche ausnahmsweisen Aktivitäten erlaubt. Eine Ausnahme kann z. B. besagen, dass für einen bestimmten Client ein Vorgang ignoriert wird. Sie können Ausnahmen manuell erstellen oder Clients in den adaptiven Modus versetzen und ihnen erlauben, Client-Ausnahmeregeln zu erstellen. Um zu gewährleisten, dass eine Signatur nie außer Kraft gesetzt wird, bearbeiten Sie die Signatur und deaktivieren Sie jeweils die Option Client-Regeln zulassen. Sie können die Client-Ausnahmen in der ePolicy Orchestrator-Konsole nachverfolgen und sie in einer regulären, gefilterten oder aggregierten Ansicht anzeigen. Verwenden Sie diese Client-Regeln, um neue Richtlinien zu erstellen oder sie zu bestehenden Richtlinien hinzuzufügen, die Sie auf andere Clients anwenden können. Host Intrusion Prevention-Clients verfügen über einen Satz von IPS-Signaturregeln, die bestimmen, ob eine Aktivität auf dem Client-Computer schädlich oder harmlos ist. Wenn schädliche Aktivitäten entdeckt werden, erhält die ePO-Konsole Warnungen in Form so genannter Ereignisse, die auf der Registerkarte Host IPS-Regeln unter Berichte angezeigt werden. Die für Signaturen in der Richtlinie für den IPS-Schutz festgelegte Schutzebene bestimmt, welche Aktion ein Client ergreift, wenn ein Ereignis auftritt. Reaktionen umfassen das Ignorieren, Protokollieren oder Verhindern der Aktivität. Ereignisse, die sich als falsch positiv herausstellen und aus einer legitimen Aktivität stammen, können durch das Erstellen einer Ausnahme zur Signaturregel oder durch das Einstufen von Anwendungen als "vertrauenswürdig" überschrieben werden. Clients im adaptiven Modus erstellen automatisch Ausnahmen, so genannte Client-Regeln. Administratoren können Ausnahmen jederzeit manuell erstellen. Die Überwachung auftretender Ereignisse und von Client-Ausnahmeregeln hilft dabei, den durch IPS gewährten Schutz anzupassen. Anwendungsschutzregeln Anwendungsschutzregeln dienen dem Schutz festgelegter und generierter Listen mit Prozessen vor Pufferüberläufen, indem API-Hooking auf Benutzerebene zugelassen oder verhindert wird. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 37 Konfigurieren von IPS-Richtlinien Aktivieren des IPS-Schutzes Der Schutz vor Pufferüberläufen ist Teil von Host Intrusion Prevention und bezieht sich auf sämtliche Prozesse, die eingeklinkt werden. Die IPS-Richtlinie enthält eine Standardliste mit Anwendungsschutzregeln für Windows-Plattformen. Diese Liste wird bei Installation von Inhaltsaktualisierungen aktualisiert. Sie kann automatisch mit im Netzwerk aktiven und dienstbasierten Anwendungen erweitert werden. Dazu muss in der Richtlinie für IPS-Optionen die Option Netzwerkorientierte und dienstbasierte Anwendungen automatisch in die Anwendungsschutzliste aufnehmen aktiviert werden. Ereignisse Reagiert ein Client auf eine ausgelöste Signatur, wird ein IPS-Ereignis erstellt. Ereignisse werden auf der Registerkarte Ereignisse der Registerkarte Host IPS unter Berichte protokolliert. Administratoren können diese Ereignisse überwachen, um Verletzungen von Systemregeln zu analysieren. Sie können dann die Reaktionen auf Ereignisse anpassen oder Regeln für Ausnahmen oder vertrauenswürdige Anwendungen erstellen, um die Anzahl an Ereignissen zu senken und die Anpassung für die Schutzeinstellungen vorzunehmen. HINWEIS: Auf dem Client von Host Intrusion Prevention werden Ereignisse aggregiert, damit nicht alle Ereignisse an den ePO-Server übertragen werden. So werden Ereignisse, die innerhalb von 20 Sekunden nacheinander auftreten, nicht wiederholt an den Server übertragen. Tritt ein Ereignis nach 20 Sekunden erneut auf, wird ein weiteres Ereignis erfasst. Administratoren können alle Ereignisse in der ePO-Konsole oder im Client-System auf der Registerkarte Host IPS unter Berichte einsehen. Aktivieren des IPS-Schutzes Mit der Richtlinie für IPS-Optionen wird bestimmt, wie der IPS-Schutz angewendet wird. Darin enthalten sind Optionen für Windows- und Nicht-Windows-Plattformen. Für alle Plattformen Folgende Optionen sind für Clients aller Plattformen verfügbar: • Host IPS aktiviert: Aktivieren Sie auf Wunsch den IPS-Schutz durch die Erzwingung von Host IPS-Regeln. HINWEIS: Das Steuerelement steht auch direkt auf dem Client zur Verfügung. • Adaptiver Modus aktiviert (Regeln werden automatisch erlernt): Hiermit wird der adaptive Modus aktiviert. In diesem erstellen Clients automatisch Ausnahmeregeln, um blockierte Vorgänge zuzulassen. Verwenden Sie diese Option nur bei der genauen Einstellung von Ausbringungen. HINWEIS: Das Steuerelement steht auch direkt auf dem Client zur Verfügung. • Bestehende Client-Regeln speichern, wenn diese Richtlinie durchgesetzt wird: Wählen Sie diese Option aus, um Clients zu erlauben, auf dem Client erstellte Ausnahmeregeln wie folgt beizubehalten: im adaptiven Modus automatisch oder manuell auf einem Windows-Client, wenn diese Richtlinie erzwungen wird. Nur bei Windows-Plattformen: Folgende Optionen sind für Clients mit Windows-Plattformen verfügbar: 38 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von IPS-Richtlinien Aktivieren des IPS-Schutzes • Netzwerk-IPS aktiviert: Mit dieser Option lassen sich Netzwerk-IPS-Regeln erzwingen. Die Option kann unabhängig von der Anwendung von Host IPS-Regeln genutzt werden. • Netzwerkeindringlinge automatisch blockieren: Blockieren Sie mit dieser Option auf einem Host ein- und ausgehenden Datenverkehr, bis dieser für die angegebene Dauer (Minuten) auf dem Client manuell aus einer Liste mit blockierten Elementen entfernt wird. Nur verfügbar, wenn die Funktion Netzwerk-IPS aktiviert ist. HINWEIS: Diese Steuerelemente stehen auch direkt auf dem Client zur Verfügung. • Blockierte Hosts zurückhalten: Mit dieser Option können Sie zulassen, dass ein Client eine Host-IP-Adresse so lange blockiert, bis die unter Netzwerkeindringlinge automatisch blockieren festgelegten Parameter erfüllt sind. Wenn diese Option nicht ausgewählt ist, wird der Host nur bis zur nächsten Richtlinienerzwingung blockiert. • Netzwerkorientierte und dienstbasierte Anwendungen automatisch in die Anwendungsschutzliste aufnehmen: Mit dieser Option können Sie zulassen, dass ein Client Anwendungen mit hohem Risiko automatisch der Liste der geschützten Anwendungen in der Richtlinie "IPS-Regen" hinzufügt. • IPS-Schutz beim Start aktiviert: Mit dieser Option können Sie einen hartkodierten Satz an Dateien und Registrierungsregeln so lange anwenden, bis der Host IPS-Dienst auf dem Client gestartet wurde. Auswahlmöglichkeiten der Richtlinie Diese Richtlinienkategorie besteht aus einer vorkonfigurierten Richtlinie und der bearbeitbaren Richtlinie "Mein Standard". Sie beruht auf der Standardrichtlinie von McAfee. Vorkonfigurierte Richtlinien können angezeigt und dupliziert werden; benutzerdefinierte Richtlinien können erstellt, bearbeitet, umbenannt, dupliziert, gelöscht und exportiert werden. Die vorkonfigurierte Richtlinie hat folgende Einstellungen: McAfee-Standard Host IPS- und Netzwerk-IPS-Schutz sind deaktiviert, und folgende Optionen werden bei Aktivierung des IPS-Schutzes angewendet: • Netzwerkeindringlinge automatisch für 10 Minuten blockieren (nur bei Windows) • Blockierte Hosts zurückhalten (nur bei Windows) • Client-Ausnahmen beibehalten TIPP: Zur Aktivierung des IPS-Schutzes muss der für Host Intrusion Prevention zuständige Administrator zuerst die Optionen für Host IPS und Netzwerk-IPS in der Richtlinie aktivieren und die Richtlinie dann auf den Client-Systemen anwenden. Im Gegensatz zu älteren Produktversionen erfolgt der IPS-Schutz auf Client-Systemen nicht automatisch. Konfigurieren der Richtlinie für IPS-Optionen Mit den Einstellungen in dieser Richtlinie werden der IPS-Schutz ein- oder ausgeschaltet und der adaptive Modus angewendet. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberfläche auf das ? klicken. 1 Klicken Sie auf Menü | Richtlinie | Richtlinienkatalog, und wählen Sie in der Liste Produkt den Eintrag Host Intrusion Prevention: IPS und in der Liste Kategorie den Eintrag IPS-Optionen aus. Eine Liste mit Richtlinien wird geöffnet. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 39 Konfigurieren von IPS-Richtlinien Festlegen der Reaktion auf IPS-Signaturen 2 Um die Einstellungen für eine benutzerdefinierte Richtlinie zu ändern, klicken Sie in der Richtlinienliste IPS-Optionen unter Aktionen auf Bearbeiten. HINWEIS: Für bearbeitbare Richtlinien sind folgende andere Optionen verfügbar: Umbenennen, Duplizieren, Löschen und Exportieren. Für nicht bearbeitbare Richtlinien sind nur die Optionen "Anzeigen" und "Duplizieren" verfügbar. 3 Nehmen Sie auf der angezeigten Seite IPS-Optionen alle erforderlichen Änderungen (einschließlich der IPS-Einstellungen für Status, Start und Netzwerk) vor, und klicken Sie anschließend auf Speichern. Festlegen der Reaktion auf IPS-Signaturen Die IPS-Schutz-Richtlinie legt die Schutzreaktion für die Schweregrade der Signaturen fest. Diese Einstellungen geben einem Client vor, was zu tun ist, wenn ein Angriff oder ein verdächtiges Verhalten entdeckt wird. Jede Signatur besitzt einen von vier Schweregraden: • Hoch: Signatur von eindeutig identifizierbaren Sicherheitsbedrohungen oder schädlichen Aktionen. Diese Signaturen sind spezifisch für gut identifizierte Schwachstellen und sind in den meisten Fällen nicht verhaltensauffällig. Verhindern Sie diese Signaturen auf allen Systemen. • Mittel: Signatur einer verhaltensauffälligen Aktivität, bei der Anwendungen außerhalb ihres Bereichs arbeiten. Verhindern Sie diese Signaturen auf kritischen Systemen sowie auf Webund SQL-Servern. • Gering: Signatur einer verhaltensauffälligen Aktivität, bei der Anwendungen und Systemressourcen gesperrt werden und nicht geändert werden können. Wenn Sie diese Signaturen verhindern, steigert dies die Sicherheit des zugrunde liegenden Systems, es ist jedoch eine zusätzliche Einstellung erforderlich. • Information: Signatur einer verhaltensauffälligen Aktivität, bei der Anwendungen und Systemressourcen geändert werden, was auf ein Sicherheitsrisiko oder einen ungefährlichen Versuch hinweisen kann, auf sensible Systeminformationen zuzugreifen. Ereignisse dieser Ebene treten im Laufe der normalen Systemaktivität auf und weisen in der Regel nicht auf einen Angriff hin. Der Schweregrade gibt die für ein System potentielle Gefahr an und dient zur Festlegung bestimmter Reaktionen für unterschiedliche Stufen potentieller Schäden. Sie können die Schweregrade und die Reaktionen für alle Signaturen ändern. Wenn eine verdächtige Aktivität beispielsweise wahrscheinlich keinen Schaden anrichtet, können Sie als Reaktion Ignorieren auswählen. Wenn eine Aktivität wahrscheinlich Schaden anrichtet, können Sie als Reaktion Verhindern auswählen. Auswahlmöglichkeiten der Richtlinie Diese Richtlinienkategorie besteht aus sechs vorkonfigurierten Richtlinien und der bearbeitbaren Richtlinie Mein Standard. Sie beruht auf der Standardrichtlinie von McAfee. Vorkonfigurierte Richtlinien können angezeigt und dupliziert werden; benutzerdefinierte Richtlinien können erstellt, bearbeitet, umbenannt, dupliziert, gelöscht und exportiert werden. 40 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von IPS-Richtlinien Festlegen des IPS-Schutzes Zu den vorkonfigurierten Richtlinien gehören: Tabelle 6: Richtlinien für den IPS-Schutz Name Funktion Basisschutz (McAfee-Standard) Verhindert Signaturen mit hohem Schweregrad und ignoriert die anderen. Erweiterter Schutz Verhindert Signaturen mit hohem und mittlerem Schweregrad und ignoriert die anderen. Maximaler Schutz Verhindert Signaturen mit hohem, mittlerem und niedrigem Schweregrad und protokolliert die anderen. Erweiterten Schutz vorbereiten Verhindert Signaturen mit hohem Schweregrad, protokolliert Signaturen mit mittlerem Schweregrad und ignoriert die anderen. Maximalen Schutz vorbereiten Verhindert Signaturen mit hohem und mittlerem Schweregrad, protokolliert Signaturen mit niedrigem Schweregrad und ignoriert die anderen. Warnung Protokolliert Signaturen mit hohem Schweregrad und ignoriert die anderen. Konfigurieren der Richtlinie für den IPS-Schutz Mit den Einstellungen in dieser Richtlinie werden für Signaturen mit einem bestimmten Schweregrad entsprechende Reaktionsmaßnahmen festgelegt. Diese Einstellungen geben einem Client vor, was zu tun ist, wenn ein Angriff oder ein verdächtiges Verhalten entdeckt wird. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberfläche auf das ? klicken. 1 Klicken Sie auf Menü | Richtlinie | Richtlinienkatalog, und wählen Sie in der Liste Produkt den Eintrag Host Intrusion Prevention: IPS und in der Liste Kategorie den Eintrag IPS-Schutz aus. 2 Um die Einstellungen für eine benutzerdefinierte Richtlinie zu ändern, klicken Sie in der Richtlinienliste IPS-Schutz unter Aktionen auf Bearbeiten. HINWEIS: Bei bearbeitbaren Richtlinien gibt es die Optionen Umbenennen, Duplizieren, Löschen und Exportieren. Für nicht bearbeitbare Richtlinien sind nur die Optionen "Anzeigen" und "Duplizieren" verfügbar. 3 Nehmen Sie auf der angezeigten Seite IPS-Schutz alle erforderlichen Änderungen vor, und klicken Sie anschließend auf Speichern. Festlegen des IPS-Schutzes In der Richtlinie für IPS-Regeln werden Sicherheitsvorkehrungen für den Eindringungsschutz getroffen. Diese Richtlinie ist eine Richtlinie mit mehreren Instanzen, der mehrere Instanzen zugewiesen werden können. Jede Richtlinie für IPS-Regeln beinhaltet konfigurierbare Eigenschaften bezüglich: • Signaturen • Anwendungsschutzregeln McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 41 Konfigurieren von IPS-Richtlinien Festlegen des IPS-Schutzes • Ausnahmeregeln Auf der Seite Host IPS unter Berichte finden Sie auch: • IPS-Ereignisse • IPS-Client-Regeln Auswahlmöglichkeiten der Richtlinie Diese Richtlinienkategorie enthält eine vordefinierte Standardrichtlinie, die einen IPS-Basisschutz gewährleistet. Die vorkonfigurierte Richtlinie kann angezeigt und dupliziert werden; benutzerdefinierte Richtlinien, die Sie erstellen, können bearbeitet, umbenannt, dupliziert, gelöscht und exportiert werden. Zudem können Sie einem Satz verschiedener Richtlinienregeln auch mehr als eine Instanz der Richtlinie zuweisen. Konfigurieren der Richtlinie für IPS-Regeln Mit den Einstellungen in dieser Richtlinie werden Signaturen, Anwendungsschutzregeln und Ausnahmen festgelegt. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberfläche auf das ? klicken. 1 Klicken Sie auf Menü | Richtlinie | Richtlinienkatalog, und wählen Sie in der Liste Produkt den Eintrag Host Intrusion Prevention: IPS und in der Liste Kategorie den Eintrag IPS-Regeln aus. Eine Liste mit Richtlinien wird geöffnet. 2 Um die Einstellungen für eine benutzerdefinierte Richtlinie zu ändern, klicken Sie in der Richtlinienliste IPS-Regeln unter Aktionen auf Bearbeiten. HINWEIS: Für bearbeitbare Richtlinien sind folgende andere Optionen verfügbar: Umbenennen, Duplizieren, Löschen und Exportieren. Für nicht bearbeitbare Richtlinien sind nur die Optionen "Anzeigen" und "Duplizieren" verfügbar. 3 Nehmen Sie auf der angezeigten Seite IPS-Regeln alle erforderlichen Änderungen vor, und klicken Sie anschließend auf Speichern. Weitere Informationen finden Sie unter Konfigurieren von IPS-Signaturen, Konfigurieren von IPS-Anwendungsschutzregeln und Konfigurieren von IPS-Ausnahmen. Zuweisen mehrerer Instanzen der Richtlinie Mehrfachschutz mittels einer einzelnen Richtlinie ist möglich, indem einer Gruppe oder einem System in der Struktur von ePolicy Orchestrator eine oder mehrere Instanzen der Richtlinie zugewiesen werden. Die Richtlinie für IPS-Regeln und die Richtlinie für vertrauenswürdige Anwendungen haben beide mehrere Instanzen, von denen auch mehrere zugewiesen werden können. Eine Richtlinie mit mehreren Instanzen eignet sich beispielsweise für einen IIS-Server, wenn Sie eine allgemeine Standardrichtlinie, eine Server-Richtlinie und eine IIS-Richtlinie anwenden, wobei die beiden letzten speziell für Systeme konfiguriert sind, die als IIS-Server ausgeführt werden. Beim Zuweisen mehrerer Instanzen wird quasi eine Zusammenfassung aller Elemente der einzelnen Instanzen zugewiesen. HINWEIS: Die McAfee-Standardrichtlinie für IPS-Regeln und vertrauenswürdige Anwendungen wird im Rahmen von Inhaltsaktualisierungen aktualisiert. Es wird empfohlen, diese beiden 42 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von IPS-Richtlinien Festlegen des IPS-Schutzes Richtlinien immer anzuwenden, um den Schutzmechanismus so auf dem neuesten Stand zu halten. Für Richtlinien mit mehreren Instanzen wird eine Verknüpfung zur gültigen Richtlinie angezeigt. Über diese können Sie die Daten der kombinierten Richtlinieninstanzen einsehen. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberfläche auf das ? klicken. 1 Klicken Sie auf Menü | Systeme | Systemstruktur, und wählen Sie dann in der Systemstruktur eine Gruppe aus. HINWEIS: Bei einem einzelnen System wählen Sie eine Gruppe aus, die das System enthält. Wählen Sie auf der Registerkarte System das System und anschließend Aktionen | Agent | Richtlinien auf einem einzelnen System ändern aus. 2 Wählen Sie unter Zugewiesene Richtlinien in der Liste Produkt den Eintrag Host Intrusion Prevention 8.0: IPS/Allgemein aus, und klicken Sie für IPS-Regeln/Vertrauenswürdige Anwendungen auf Zuweisungen bearbeiten. 3 Klicken Sie auf der Seite Richtlinienzuweisung auf Neue Richtlinieninstanz, und wählen Sie aus der Liste Zugewiesene Richtlinien eine Richtlinie für die zusätzliche Richtlinieninstanz aus. Wenn Sie den gültigen oder kombinierten Instanzregelsatz anzeigen möchten, klicken Sie auf Gültige Richtlinie anzeigen. 4 Speichern Sie die Änderungen mit Speichern. Häufig gestellte Fragen: Richtlinien mit mehreren Instanzen Host Intrusion Prevention beinhaltet zwei Richtlinien mit mehreren Instanzen: IPS-Regeln und vertrauenswürdige Anwendungen. Diese Richtlinien erlauben die gleichzeitige Anwendung mehrerer Richtlinien auf einem Client. Alle anderen Richtlinien haben nur eine Instanz. Die McAfee-Standardversionen dieser Richtlinien werden automatisch bei jeder Inhaltsaktualisierung von Host Intrusion Prevention aktualisiert. Damit Inhaltsaktualisierungen erfolgen können, müssen diese Richtlinien immer einem Client zugewiesen werden. Wird mehr als eine Instanz angewendet, kommt es zu einer Zusammenfassung aller Instanzen, der so genannten gültigen Richtlinie. Wie können Ausbringungen mit einer Richtlinienzuweisung mit mehreren Plätzen strukturiert werden? Bestimmen Sie zuerst Benutzergruppen für die Ausbringung, die eine wichtige Eigenschaft gemeinsam haben. Diese gibt an, welche Ressourcen zu schützen sind und welche für eine ordnungsgemäße Funktion Ausnahmen benötigen. Mögliche Eigenschaften sind: • Abteilung: In jeder Abteilung sind Ressourcen zu schützen, und für bestimmte Geschäftsaktivitäten werden Ausnahmen benötigt. • Standort: Jeder Standort hat mitunter eigene Sicherheitsstandards oder bestimmte Ressourcen, die geschützt werden müssen, sowie Ausnahmen, die für die Geschäftsaktivität erforderlich sind. • Computertyp: Jeder Computertyp (Laptops, Arbeitsstationen, Server) verfügt über eigene Anwendungen, die zwar geschützt werden müssen, aber auch wichtige Geschäftsaktivitäten ausführen sollen. Schützen Sie als Nächstes die Ressourcen, und erstellen Sie für jede Gruppe Ausnahmen und vertrauenswürdige Anwendungen. Mithilfe des adaptiven Modus können Sie bestimmen, welche McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 43 Konfigurieren von IPS-Richtlinien Festlegen des IPS-Schutzes Ressourcen für eine bestimmte Gruppe geschützt werden müssen bzw. vertrauenswürdig sind. Erstellen Sie danach für jede Benutzergruppe Instanzen von IPS-Regeln und Richtlinien für vertrauenswürdige Anwendungen (eine Richtlinie für IPS-Regeln für eine bestimmte Abteilung, eine für einen bestimmten Standort und eine für einen bestimmten Computertyp). Wenden Sie dann die jeweilige Instanz an. Ohne eine Richtlinie für IPS-Regeln mit mehreren Instanzen bedarf es bei einer Kombination von drei Abteilungen, drei Standorten und drei Computertypen 27 Richtlinien. Mit dem Ansatz für mehrere Instanzen sind es nur neun. Allerdings widersprechen sich Regeln aus verschieden zugewiesenen Richtlinien. Wie wird die gültige Richtlinie bestimmt? Es kann vorkommen, dass eine Regel in einer Instanz Einstellungen aufweist, die denen der gleichen Regel aus einer anderen Richtlinieninstanz widersprechen. Für den Umgang mit solchen Konflikten und zur Bestimmung der gültigen Richtlinie verfügt Host IPS über Regeln. Bei IPS-Regeln: • Der gültige Schweregrad einer Signatur entspricht dem höchsten benutzerdefinierten Schweregrad. Die Priorität lautet: Hoch, Mittel, Niedrig, Information, Deaktiviert. Wird der Schweregrad nicht angepasst, wird der Standardwert verwendet. • Der gültige Protokollstatus einer Signatur entspricht dem benutzerdefinierten Protokollstatus. Liegt in zwei oder mehr angewendeten Richtlinien für IPS-Regeln eine benutzerdefinierte Einstellung vor, hat der aktivierte benutzerdefinierte Protokollstatus Vorrang vor dem nicht aktivierten. Ist der Protokollstatus nicht benutzerdefiniert eingestellt, wird der Standardwert verwendet. • Die Einstellung für die gültigen Client-Regeln einer Signatur entspricht der benutzerdefinierten Einstellung. Liegt in zwei oder mehr zugewiesenen Richtlinien für IPS-Regeln eine benutzerdefinierte Einstellung vor, hat die aktivierte Einstellung für benutzerdefinierte Client-Regeln Vorrang vor der nicht aktivierten. Ist die Einstellung für Client-Regeln nicht benutzerdefiniert eingestellt, wird der Standardwert verwendet. • Der gültige Satz an Ausnahmen entspricht einer Zusammenfassung aller angewendeten Ausnahmen. Bei vertrauenswürdigen Anwendungen: • Der gültige Satz an vertrauenswürdigen Anwendungen entspricht einer Zusammenfassung aller vertrauenswürdigen Anwendungen. • Wird eine Anwendung als für Firewall oder IPS vertraulich gekennzeichnet, hat dies auch dann Vorrang, wenn dieselbe Anwendung in einer anderen zugewiesenen Richtlinie für vertrauenswürdige Anwendungen für dieses Element nicht als vertrauenswürdig gekennzeichnet ist. Funktionsweise von IPS-Signaturen Signaturen beschreiben Sicherheitsbedrohungen, Angriffsmethoden und Eindringungsversuche in Netzwerke. Jede Signatur hat einen standardmäßigen Schweregrad, der die von einem Angriff ausgehende potentielle Gefahr illustriert: • Hoch: Signaturen, die vor eindeutig erkennbaren Sicherheitsbedrohungen oder schädlichen Aktionen schützen. Die meisten dieser Signaturen sind spezifisch für gut identifizierte Schwachstellen und sind in den meisten Fällen nicht verhaltensauffällig. Diese Signaturen sollten auf allen Hosts verhindert werden. • Mittel: Signaturen, die stärker auf Verhaltensweisen ausgerichtet sind und verhindern, dass Anwendungen außerhalb ihrer Umgebung arbeiten (relevant für Clients beim Schutz von 44 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von IPS-Richtlinien Festlegen des IPS-Schutzes Web-Servern und Microsoft SQL Server 2000). Bei wichtigen Servern sollten Sie diese Signaturen mitunter nach der Einstellung verhindern. • Gering: Stärker auf Verhaltensweisen ausgerichtete Signaturen und Schutzschildanwendungen. Diese sperren Anwendungs- und Systemressourcen gegen Änderungen. Wenn Sie solche Signaturen verhindern, steigert dies die Sicherheit des zugrunde liegenden Systems, es ist jedoch eine gewisse zusätzliche Abstimmung erforderlich. • Information: Zeigt eine Änderung der Systemkonfiguration an, was auf ein unwesentliches Sicherheitsrisiko oder einen Versuch hinweisen kann, auf sensible Systeminformationen zuzugreifen. Ereignisse dieser Ebene treten im Laufe der normalen Systemaktivität auf und weisen in der Regel nicht auf einen Angriff hin. Signaturtypen Die Richtlinie für IPS-Regeln kann drei verschiedene Signaturtypen enthalten: • Host-Signaturen: Standardmäßige Signaturen von Host Intrusion Prevention. • Benutzerdefinierte IPS-Signaturen: Von Ihnen erstellte, benutzerdefinierte Signaturen von Host Intrusion Prevention. • Netzwerk-IPS-Signaturen: Standardmäßige Signaturen von Network Intrusion Prevention. Host IPS-Signaturen Hostbasierte Intrusion Prevention-Signaturen entdecken und verhindern Angriffe durch Systemvorgänge und enthalten Regeln für die Bereiche Dateien, Registrierung, Dienste und HTTP. Sie werden von den Sicherheitsexperten von Host Intrusion Prevention entwickelt und mit dem Produkt sowie durch Inhaltsaktualisierungen bereitgestellt. Jede Signatur besitzt eine Beschreibung und einen standardmäßigen Schweregrad. Administratoren mit entsprechenden Berechtigungen können den Schweregrad einer Signatur ändern. Wenn hostbasierte Signaturen ausgelöst werden, erzeugen diese ein IPS-Ereignis, das auf der Registerkarte IPS-Ereignisse unter Berichte angezeigt wird. Benutzerdefinierte IPS-Signaturen Benutzerdefinierte Signaturen sind hostbasierte Signaturen, die Sie erstellen können, um einen zusätzlichen Schutz für besondere Anforderungen bereitzustellen. Beispiel: wenn Sie ein neues Verzeichnis anlegen, das wichtige Dateien enthält, können Sie zu dessen Schutz eine benutzerdefinierte Signatur erstellen. HINWEIS: Netzwerkbasierte benutzerdefinierte Signaturen können nicht erstellt werden. Netzwerk-IPS-Signaturen Netzwerkbasierte Intrusion Prevention-Signaturen (NIPS) entdecken und verhindern bekannte netzwerkbasierte Angriffe auf das Host-System. Sie werden in derselben Signaturenliste wie hostbasierte Signaturen angezeigt. Jede Signatur besitzt eine Beschreibung und einen standardmäßigen Schweregrad. Administratoren mit entsprechenden Berechtigungen können den Schweregrad einer Signatur ändern. Sie können für netzwerkbasierte Signaturen Ausnahmen erstellen, allerdings keine zusätzlichen Parameterattribute angeben, wie den Betriebssystembenutzer und den Prozessnamen. Die erweiterten Angaben enthalten netzwerkspezifische Parameter, wie beispielsweise die IP-Adressen, die Sie angeben können. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 45 Konfigurieren von IPS-Richtlinien Festlegen des IPS-Schutzes Von netzwerkbasierten Signaturen generierte Ereignisse werden zusammen mit den hostbasierten Ereignissen auf der Registerkarte Ereignisse angezeigt. Sie zeigen dasselbe Verhalten wie hostbasierte Ereignisse. Um mit Signaturen zu arbeiten, öffnen Sie in der Richtlinie IPS-Regeln die Registerkarte Signaturen. Konfigurieren von IPS-Signaturen Auf der Registerkarte Signaturen in der Richtlinie für IPS-Regeln können Standardsignaturen bearbeitet, benutzerdefinierte Signaturen hinzugefügt und Signaturen in eine andere Richtlinie verschoben werden. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberfläche auf das ? klicken. 1 Klicken Sie auf Menü | Richtlinie | Richtlinienkatalog, und wählen Sie in der Liste Produkt den Eintrag Host Intrusion Prevention: IPS und in der Liste Kategorie den Eintrag IPS-Regeln aus. Eine Liste mit Richtlinien wird geöffnet. 2 Um Änderungen auf der Seite IPS-Regeln vorzunehmen, klicken Sie unter Aktionen auf Bearbeiten. Öffnen Sie dann die Registerkarte Signaturen. 3 Führen Sie einen der folgenden Schritte aus: Zweck Vorgehensweise Durchsuchen der Liste nach einer Signatur Verwenden Sie die Filter oben in der Signaturliste. Zu den Filtermöglichkeiten zählen Schweregrad der Signatur, Typ, Plattform, Protokollstatus, ob Client-Regeln erlaubt sind oder aber ein Textbestandteil von Signaturnamen, Hinweisen oder Inhaltsversion. Klicken Sie auf Löschen, um Filtereinstellungen zu entfernen. Bearbeiten einer Signatur Klicken Sie unter Aktionen auf Bearbeiten. • Wenn es sich bei der Signatur um eine Standardsignatur handelt, ändern Sie Schweregrad, Client-Regeln oder Protokollstatus, und dokumentieren Sie die Änderung im Feld Hinweis. Speichern Sie die Änderungen mit OK. Bearbeitete Standardsignaturen können auf ihre Standardeinstellungen zurückgesetzt werden, indem Sie unter Aktionen auf Zurücksetzen klicken. HINWEIS: Wurde eine Signatur bearbeitet und die Änderung gespeichert, wird die Signatur in der Liste neu angeordnet. Eventuell muss die Liste dann nach der bearbeiteten Signatur durchsucht werden. • Wenn die Signatur benutzerdefiniert ist, ändern Sie falls nötig die Einstellungen für Schweregrad, Client-Regeln, Protokollstatus oder Beschreibung, und dokumentieren Sie die Änderung im Feld Hinweis. Speichern Sie die Änderungen mit OK. HINWEIS: Sie können auch mehrere Signaturen gleichzeitig ändern, indem Sie die gewünschten Signaturen auswählen und auf Mehrere bearbeiten klicken. Wählen Sie auf der nun angezeigten Seite die 46 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von IPS-Richtlinien Festlegen des IPS-Schutzes Zweck Vorgehensweise Einstellungen für die drei bearbeitbaren Elemente aus, und klicken Sie dann auf OK. Hinzufügen einer Signatur Klicken Sie auf Neu oder Neu (Assistent). Löschen einer benutzerdefinierten Signatur Klicken Sie unter Aktionen auf Löschen. HINWEIS: Nur benutzerdefinierte Signaturen können gelöscht werden. Kopieren einer Signatur in eine andere Richtlinie Um eine Signatur in eine andere Richtlinie zu kopieren, wählen Sie die gewünschte Signatur aus, und klicken Sie auf Kopieren nach. Geben Sie die Richtlinie an, in die die Signatur kopiert werden soll, und klicken Sie auf OK. HINWEIS: Sie können mehrere Signaturen gleichzeitig kopieren, wenn Sie diese vor dem Klicken auf Kopieren nach zusammen markieren. 4 Speichern Sie die Änderungen dann mit Speichern. Erstellen benutzerdefinierter Signaturen Um Vorgänge zu schützen, die von Standardsignaturen nicht abgedeckt werden, erstellen Sie in der Richtlinie für IPS-Regeln auf der Registerkarte Signaturen benutzerdefinierte Host Intrusion Prevention-Signaturen. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberfläche auf das ? klicken. 1 Klicken Sie auf der Registerkarte Signaturen der IPS-Regel-Richtlinie auf Neu. Eine leere Seite Signatur wird angezeigt. 2 Geben Sie auf der Registerkarte IPS-Signatur der Signatur einen Namen (erforderlich) ein, und wählen Sie die Plattform, den Schweregrad und den Protokollstatus aus und ob die Erstellung von Client-Regeln erlaubt werden soll. Wenn Sie bei Schweregrad, Client-Regeln und Protokollstatus die Standardwerte ändern möchten, aktivieren Sie das Kontrollkästchen. 3 Geben Sie auf der Registerkarte Beschreibung ein, was von der Signatur geschützt wird. Diese Beschreibung wird im Dialogfeld IPS-Ereignis angezeigt, wenn die Signatur ausgelöst wird. 4 Wählen Sie zur Erstellung einer Regel auf der Registerkarte Untergeordnete Regeln entweder die Option Neue standardmäßige untergeordnete Regel oder Neue untergeordnete Expertenregel aus. Standardverfahren Expertenverfahren Beim Standardverfahren ist die Anzahl der Typen beschränkt, die in die Signaturregel aufgenommen werden können. Beim nur für erfahrene Benutzer empfohlenen Expertenverfahren können Sie die Regelsyntax ohne Einschränkung der Anzahl der Typen angeben, die in die Signaturregel aufgenommen werden. Bevor Sie eine Regel schreiben, sollten Sie sich mit der Regelsyntax vertraut machen. 1 1 Geben Sie einen Namen (erforderlich) für die Signatur ein, und wählen Sie einen Geben Sie die Regelsyntax der Signaturen ein. Diese kann einen Namen für die Regel enthalten. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 47 Konfigurieren von IPS-Richtlinien Festlegen des IPS-Schutzes Standardverfahren Expertenverfahren Regelklassentyp aus. Folgende Optionen sind verfügbar: Dateien, Einklinken, HTTP, Programm, Registrierung, Dienste, SQL. Verwenden Sie das ANSI-Format und das TCL-Syntax. 2 2 Geben Sie die Klassenvorgänge an, die blockiert werden und die Signatur auslösen. 3 Geben Sie an, ob ein bestimmter Parameter aufgenommen wird oder nicht, und um welchen Parameter es sich handelt, bzw. welchen Wert er besitzt. 4 Geben Sie als Parameter eine ausführbare Datei mit Informationen zu mindestens einem der folgenden vier Werte an: Dateibeschreibung, Dateiname, MD5-Hash-Fingerabdruck oder Unterzeichner. 5 Klicken Sie auf OK. Die Regel wird in der Liste oben auf der Registerkarte Untergeordnete Regel angezeigt. Die Regel wird kompiliert, und die Syntax wird geprüft. Wenn die Regel die Überprüfung nicht besteht, wird ein Dialogfeld mit einer Fehlerbeschreibung angezeigt. Beheben Sie den Fehler, und versuchen Sie es erneut. Klicken Sie auf OK. Die Regel wird in der Liste oben auf der Registerkarte Untergeordnete Regel angezeigt. Die Regel wird kompiliert, und die Syntax wird geprüft. Wenn die Regel die Überprüfung nicht besteht, wird ein Dialogfeld mit einer Fehlerbeschreibung angezeigt. Beheben Sie den Fehler, und versuchen Sie es erneut. Informationen zum Arbeiten mit Klassentypen, Vorgängen und Parametern erhalten Sie unter Schreiben benutzerdefinierter Signaturen und Ausnahmen im Abschnitt zu der jeweiligen Klasse. 5 Klicken Sie auf OK. HINWEIS: Eine Signatur kann mehrere Regeln enthalten. Erstellen benutzerdefinierter Signaturen mit einem Assistenten Mithilfe des Assistenten für benutzerdefinierte Signaturen können neue Signaturen leicht erstellt werden. HINWEIS: Per Assistent erstellte Signaturen sind hinsichtlich der geschützten Vorgänge nicht flexibel, da Vorgänge nicht geändert, hinzugefügt oder gelöscht werden können. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberfläche auf das ? klicken. 48 1 Klicken Sie auf der Registerkarte Signaturen der IPS-Regeln auf Neu (Assistent). 2 Geben Sie auf der Registerkarte Grundlegende Angaben einen Namen ein, und wählen Sie die Plattform, den Schweregrad und den Protokollstatus aus sowie ob die Erstellung von Client-Regeln erlaubt werden soll. Klicken Sie zum Fortzufahren auf Weiter. 3 Geben Sie auf der Registerkarte Beschreibung ein, was von der Signatur geschützt wird. Diese Beschreibung wird im Dialogfeld IPS-Ereignis angezeigt, wenn die Signatur ausgelöst wird. 4 Wählen Sie auf der Registerkarte Regeldefinition das gegen Veränderungen zu schützende Objekt aus, und geben Sie Einzelheiten dazu an. 5 Klicken Sie auf OK. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von IPS-Richtlinien Festlegen des IPS-Schutzes Häufig gestellte Fragen: Verwenden von Platzhaltern in IPS-Regeln In Host IPS-Regeln dürfen bei der Eingabe von Werten in bestimmte Felder Platzhalter verwendet werden. Welche Platzhalter sind in Pfad- und Adresswerten zulässig? Folgende Platzhalter dürfen in Dateipfaden, Registrierungsschlüsseln, ausführbaren Dateien und URLs verwendet werden: Zeichen Definition ? (Fragezeichen) Ein einzelnes Zeichen * (Sternchen) Mehrere Zeichen mit Ausnahme von / und \. Wird als Entsprechung der Stammebene eines Ordners ohne Unterordner verwendet. ** (zwei Sternchen) Mehrere Zeichen, einschließlich "/" und "\". | (Pipe-Zeichen) Platzhalter-Escape-Zeichen HINWEIS: Die Escape-Zeichenfolge für "**" lautet "|*|*". Welche Platzhalter sind in sonstigen Werten zulässig? Für Werte, die normalerweise keine Pfadangaben mit Schrägstrichen enthalten, können folgende Platzhalter verwendet werden: Zeichen Definition ? (Fragezeichen) Ein einzelnes Zeichen * (Sternchen) Mehrere Zeichen, einschließlich "/" und "\". | (Pipe-Zeichen) Platzhalter-Escape-Zeichen Welche Platzhalterz sind in den Werten untergeordneter Expertensignaturregeln zulässig? Bei der Erstellung einer untergeordneten Regel mithilfe des Expertenverfahrens gilt für alle Werte: Zeichen Definition ? (Fragezeichen) Ein einzelnes Zeichen * (Sternchen) Mehrere Zeichen, einschließlich "/" und "\". Beispiel: files { Include “C:\*.txt” ” } & (kaufmännisches "Und" [Ampersand]) Mehrere Zeichen mit Ausnahme von / und \. Wird als Entsprechung der Stammebene eines Ordners mit Ausnahme der Unterordner verwendet. Beispiel: files { Include “C:\test\\&.txt” } ! (Ausrufezeichen) Platzhalter-Escape-Zeichen Beispiel: files { Include “C:\test\\yahoo!.txt” } McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 49 Konfigurieren von IPS-Richtlinien Festlegen des IPS-Schutzes Funktionsweise von IPS-Anwendungsschutzregeln Anwendungsschutzregeln dienen der Steuerung, welche Prozesse von Host Intrusion Prevention einen generischen Schutz vor Pufferüberläufen erhalten. Die Regeln erlauben oder blockieren das API-Einklinken auf Benutzerebene für definierte und generierte Prozesslisten. Die Datei auf Kernel-Ebene und das Registrierungseinklinken sind nicht betroffen. Nur Prozesse, die in der Liste den Status Eingeschlossen aufweisen, werden vor Pufferüberläufen geschützt. Host Intrusion Prevention bietet eine statische Liste mit Prozessen, die erlaubt oder blockiert werden. Diese wird anhand von Inhaltsaktualisierungen für die Standardrichtlinie für IPS-Regeln von McAfee aktualisiert. Darüber hinaus können bei aktivierter Prozessanalyse Prozesse, die eingeklinkt werden dürfen, dynamisch der Prozessliste hinzugefügt werden. Die Analyse erfolgt unter folgenden Bedingungen: • Jedes Mal, wenn der Client gestartet und die laufenden Prozesse durchgezählt werden. • Jedes Mal, wenn ein Prozess gestartet wird. • Jedes Mal, wenn die Anwendungsschutzliste durch den ePolicy Orchestrator-Server aktualisiert wird. • Jedes Mal, wenn die Liste der Prozesse, die einen Netzwerk-Port überwachen, aktualisiert wird. HINWEIS: Damit die Liste dynamisch aktualisiert werden kann, muss für die Richtlinie für IPS-Optionen die Option "Netzwerkorientierte und dienstbasierte Anwendungen automatisch in die Anwendungsschutzliste aufnehmen" ausgewählt werden. Diese Option umfasst implizit alle Anwendungen und Dienste von Windows, die Netzwerk-Ports überwachen. Im Rahmen der Analyse wird zuerst geprüft, ob der Prozess von der Liste für den Anwendungsschutz ausgenommen ist. Wenn nicht, wird geprüft, ob der Prozess auf der Liste für den Anwendungsschutz steht. Wenn nicht, wird der Prozess analysiert, um herauszufinden, ob er einen Netzwerk-Port überwacht oder als Dienst ausgeführt wird. Wenn nicht, wird Einklinken blockiert, und der Prozess wird nicht geschützt. Überwacht er einen Port oder wird als Dienst ausgeführt, ist Einklinken zulässig, und der Prozess wird geschützt. 50 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von IPS-Richtlinien Festlegen des IPS-Schutzes Abbildung 1: Analyse der Anwendungsschutzregeln Die IPS-Komponente verwaltet einen Informations-Cache für laufende Prozesse, der die Informationen zum Einklinken aufzeichnet. Die Firewall-Komponente ermittelt, ob ein Prozess einen Netzwerk-Port überwacht, ruft eine von der IPS-Komponente exportierte API auf und übergibt die Informationen an die API, die diese der Überwachungsliste hinzufügt. Wenn die API aufgerufen wird, sucht die IPS-Komponente in ihrer Liste der ausgeführten Prozesse nach dem entsprechenden Eintrag. Prozesse, die nicht schon eingeklinkt wurden und sich nicht in der statischen Blockierliste befinden, werden dann eingeklinkt. Die Firewall liefert die PID (Prozess-ID), die bei der Cache-Suche nach einem Prozess als Schlüssel dient. Mit der von der IPS-Komponente exportierten API kann die Client-UI außerdem die Liste der derzeit eingeklinkten Prozesse abrufen. Diese wird immer dann aktualisiert, wenn ein Prozess ein- oder ausgeklinkt wird. Ein eingeklinkter Prozess wird entfernt, wenn die Konsole eine aktualisierte Prozessliste sendet, aus der hervorgeht, dass der bereits eingeklinkte Prozess nicht McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 51 Konfigurieren von IPS-Richtlinien Festlegen des IPS-Schutzes länger eingeklinkt sein soll. Wenn die Liste der eingeklinkten Prozesse aktualisiert wird, werden alle im Informations-Cache der laufenden Prozesse enthaltenen Prozesse mit der aktualisierten Liste verglichen. Geht aus der Liste hervor, dass ein Prozess einzuklinken ist, dies aber noch nicht geschehen ist, erfolgt dies jetzt. Geht aus der Liste hervor, dass ein Prozess nicht eingeklinkt werden soll, aber bereits eingeklinkt ist, wird er entfernt. Die Listen mit den eingeklinkten Prozessen werden auf der Registerkarte Anwendungsschutzregeln angezeigt und bearbeitet. Anders als bei der Richtlinie für IPS-Regeln wird in der Client-Benutzeroberfläche eine statische Liste aller eingeklinkten Anwendungsprozesse angezeigt. HINWEIS: Um die Einschleusung einer DLL in eine ausführbare Datei bei der Verwendung von "hook:set_windows_hook" zu verhindern, müssen Sie die ausführbare Datei in die Anwendungsschutzliste einbinden. Konfigurieren von IPS-Anwendungsschutzregeln Auf der Registerkarte IPS-Anwendungsschutzregeln in der Richtlinie für IPS-Regeln können Sie Regeln bearbeiten, hinzufügen, löschen und in eine andere Richtlinie verschieben. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberfläche auf das ? klicken. 1 Klicken Sie auf Menü | Richtlinie | Richtlinienkatalog, und wählen Sie in der Liste Produkt den Eintrag Host Intrusion Prevention: IPS und in der Liste Kategorie den Eintrag IPS-Regeln aus. Eine Liste mit Richtlinien wird geöffnet. 2 Um Änderungen auf der Seite IPS-Regeln vorzunehmen, klicken Sie unter Aktionen auf Bearbeiten. Öffnen Sie dann die Registerkarte Anwendungsschutzregeln. 3 Führen Sie einen der folgenden Schritte aus: Zweck Vorgehensweise Durchsuchen der Liste nach einer Anwendungsregel Verwenden Sie die Filter oben in der Anwendungsliste. Sie können über den Regelstatus filtern, über Zugehörigkeit oder einen bestimmten Text, etwa den Prozessnamen, den Prozesspfad oder den Computernamen. Klicken Sie auf Löschen, um Filtereinstellungen zu entfernen. Bearbeiten einer Anwendungsregel Klicken Sie unter Aktionen auf Bearbeiten. Hinzufügen einer Anwendungsregel Klicken Sie auf Neu. Löschen einer Anwendungsregel Klicken Sie unter Aktionen auf Löschen. Kopieren einer Anwendungsregel in eine andere Richtlinie Um eine Regel in eine andere Richtlinie zu kopieren, wählen Sie die gewünschte Regel aus, und klicken Sie auf Kopieren nach. Geben Sie die Richtlinie an, in die die Regel kopiert werden soll, und klicken Sie auf OK. HINWEIS: Sie können mehrere Regeln gleichzeitig kopieren. Dazu markieren Sie diese, bevor Sie auf Kopieren nach klicken. 4 52 Speichern Sie die Änderungen dann mit Speichern. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von IPS-Richtlinien Festlegen des IPS-Schutzes Erstellen von Anwendungsschutzregeln Wenn die Richtlinie für IPS-Regeln keine für Ihre Umgebung notwendige Anwendungsschutzregel beinhaltet, können Sie eine erstellen. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberfläche auf das ? klicken. 1 Führen Sie in der Richtlinie für IPS-Regeln auf der Registerkarte Anwendungsschutzregeln einen der folgenden Vorgänge aus: • Klicken Sie auf Neu. Eine leere Seite Anwendung wird angezeigt. 2 • Wählen Sie eine Regel aus, und klicken Sie auf Duplizieren. Klicken Sie nach Umbenennen und Speichern der neuen Regel auf Bearbeiten. Geben Sie Namen (erforderlich) und Status der Regel ein und ob die Anwendungsregel in die Schutzliste aufgenommen wird sowie die ausführbaren Dateien, für die die Regel gelten soll. HINWEIS: Ausführbare Dateien können aus dem Katalog von Host IPS durch Klicken auf Aus Katalog hinzufügen übernommen werden. Informationen über den Katalog erhalten Sie in Funktionsweise des Host IPS-Katalogs unter Konfigurieren von Firewall-Richtlinien. 3 Klicken Sie auf Speichern. Funktionsweise von IPS-Ausnahmen Es kann vorkommen, dass Verhaltensweisen, die normalerweise als Angriff interpretiert würden, zum normalen Arbeitsablauf eines Benutzers gehören. Diese Situation wird als Falsch-Positiv-Warnung bezeichnet. Um Falsch-Positiv-Warnungen zu vermeiden, können Sie eine Ausnahme für dieses Verhalten erstellen. Mit Ausnahmen verringern Sie die Anzahl von Falsch-Positiv-Warnungen, minimieren unnötige Datenübertragungen an die Konsole und stellen sicher, dass sich Warnungen auf echte Sicherheitsbedrohungen beziehen. Beispiel: Während des Testens von Clients erkennt ein Client die Signatur Outlook-Umschlag – Anormale Änderung einer ausführbaren Datei. Diese Signatur bedeutet, dass die E-Mail-Anwendung Outlook versucht, eine Anwendung außerhalb des üblichen Ressourcenbereichs für Outlook zu ändern. Ein durch diese Signatur ausgelöstes Ereignis ist alarmierend, da die Möglichkeit besteht, dass Outlook eine Anwendung verändert, die üblicherweise nichts mit E-Mail-Vorgängen zu tun hat, wie z. B. "Notepad.exe". In diesem Fall liegt der Verdacht nahe, dass ein Trojaner ausgelegt wurde. Wenn allerdings der auslösende Prozess des Ereignisses normalerweise für das Senden von E-Mails verantwortlich ist (um beispielsweise eine Datei mit "Outlook.exe" zu speichern), dann sollten Sie eine Ausnahme erstellen, die diese Aktion zulässt. TIPP: Wenn Sie eine benutzerdefinierte Signatur erstellen, mit der Änderungen an Dateien (Bearbeiten, Umbenennen, Löschen) in einem bestimmten Ordner verhindert werden, eine einzige Anwendung aber Änderungen vornehmen können soll, erstellen Sie eine Ausnahme, gemäß der diese Anwendung die Dateien ändern darf. Alternativ könnten Sie die untergeordnete Regel der benutzerdefinierten Signatur mit dem Parameter ergänzen, wobei für die Anwendung "Ausschließen" festgelegt ist. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 53 Konfigurieren von IPS-Richtlinien Festlegen des IPS-Schutzes Konfigurieren von IPS-Ausnahmen Auf der Registerkarte Ausnahmen für IPS-Regeln in der Richtlinie für IPS-Regeln können Sie Regeln bearbeiten, hinzufügen, löschen und in eine andere Richtlinie verschieben. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberfläche auf das ? klicken. 1 Klicken Sie auf Menü | Richtlinie | Richtlinienkatalog, und wählen Sie in der Liste Produkt den Eintrag Host Intrusion Prevention: IPS und in der Liste Kategorie den Eintrag IPS-Regeln aus. Eine Liste mit Richtlinien wird geöffnet. 2 Um Änderungen auf der Seite IPS-Regeln vorzunehmen, klicken Sie unter Aktionen auf Bearbeiten. Öffnen Sie dann die Registerkarte Ausnahmeregeln. 3 Führen Sie einen der folgenden Schritte aus: Zweck Vorgehensweise Durchsuchen der Liste nach einer Ausnahmeregel Verwenden Sie die Filter oben in der Ausnahmeliste. Als Filtermöglichkeiten stehen Regelstatus, Datum der letzten Änderung oder ein Textbestandteil von Regeln oder Hinweisen zur Verfügung. Klicken Sie auf Löschen, um Filtereinstellungen zu entfernen. Bearbeiten einer Ausnahmeregel Klicken Sie unter Aktionen auf Bearbeiten. Hinzufügen einer Ausnahmeregel Klicken Sie auf Neu. Löschen einer Ausnahmeregel Klicken Sie unter Aktionen auf Löschen. Kopieren einer Ausnahmeregel in eine andere Richtlinie Um eine Regel in eine andere Richtlinie zu kopieren, wählen Sie die gewünschte Regel aus, und klicken Sie auf Kopieren nach. Geben Sie die Richtlinie an, in die die Regel kopiert werden soll, und klicken Sie auf OK. HINWEIS: Sie können mehrere Regeln gleichzeitig kopieren. Dazu markieren Sie diese, bevor Sie auf Kopieren nach klicken. 4 Klicken Sie auf Speichern, um die Änderungen zu speichern. Erstellen von Ausnahmeregeln Sollen von einer Signatur blockierte Aktivitäten zugelassen werden, erstellen Sie für die Signatur eine Ausnahme. Dabei müssen für die Ausnahme mitunter Parameter und Werte angegeben werden. Informationen dazu finden Sie unter Schreiben von benutzerdefinierten Signaturen und Ausnahmen. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberfläche auf das ? klicken. 54 1 Klicken Sie auf der Registerkarte Ausnahmeregeln der Richtlinie für IPS-Regeln auf Neu. 2 Benennen Sie die Ausnahme, stellen Sie sicher, dass sie aktiviert ist, und schließen Sie dann die Signatur(en) ein, für welche die Ausnahme gilt. 3 Legen Sie die relevanten ausführbaren Dateien, Parameter oder Domänengruppen als Verhaltensausnahme der Signatur fest. 4 Klicken Sie auf Speichern. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von IPS-Richtlinien Überwachen von IPS-Ereignissen Überwachen von IPS-Ereignissen Ein IPS-Ereignis wird ausgelöst, wenn ein von einer Signatur bestimmter Sicherheitsverstoß entdeckt und an den ePO-Server gemeldet wird. Das IPS-Ereignis wird auf der Registerkarte Host IPS unter Ereignisse (oder auf der Registerkarte Ereignisprotokoll zusammen mit allen anderen Ereignissen der von ePolicy Orchestrator verwalteten Produkte) mit einer von vier Sicherheitsstufen angezeigt: Hoch, Mittel, Niedrig und Information. HINWEIS: Wenn derselbe Vorgang zwei Ereignisse auslöst, wird die höhere Reaktion ausgeführt. Mithilfe der Liste der generierten Ereignisse können Sie bestimmen, welche Ereignisse zugelassen werden können und welche auf ein verdächtiges Verhalten hinweisen. Um Ereignisse zuzulassen, müssen Sie das System wie folgt konfigurieren: • Ausnahmen: Regeln, mit denen eine Signaturregel überschrieben wird. • Vertrauenswürdige Anwendungen: Anwendungen, deren Vorgänge ansonsten durch eine Signatur blockiert werden könnten. Durch eine solche Optimierung können Sie auftretende Ereignisse auf ein Minimum begrenzen und haben so mehr Zeit für die Analyse wichtiger Ereignisse. Auf Ereignisse reagieren Unter bestimmten Umständen kann es vorkommen, dass Verhaltensweisen, die als Angriff interpretiert werden, zum normalen Arbeitsablauf eines Benutzers gehören. Wenn dies der Fall ist, können Sie für dieses Verhalten eine Ausnahmeregel oder eine Regel für eine vertrauenswürdige Anwendung erstellen. Durch das Erstellen von Ausnahmen und vertrauenswürdigen Anwendungen können Sie Falsch-Positiv-Warnungen vermeiden und sicherstellen, dass Sie nur aussagekräftige Benachrichtigungen erhalten. Beispielsweise stellen Sie beim Testen von Clients fest, dass ein Client die Signatur für den E-Mail-Zugriff erkennt. Ein von dieser Signatur ausgelöstes Ereignis kann unter bestimmten Umständen alarmierend sein. Ein Hacker könnte eine Trojaner-Anwendung installieren, die den TCP/IP-Port 25 verwendet, der in der Regel für E-Mail-Anwendungen reserviert ist. Diese Aktion würde durch die Signatur für TCP/IP-Port 25-Aktivitäten (SMTP) entdeckt. Andererseits kann auch normaler E-Mail-Datenverkehr mit dieser Signatur übereinstimmen. Wenn diese Signatur auftritt, muss untersucht werden, welcher Prozess das Ereignis ausgelöst hat. Handelt es sich bei dem Vorgang um einen Prozess, der normalerweise nicht im Zusammenhang mit E-Mails steht, wie beispielsweise Notepad.exe, müssen Sie stark davon ausgehen, dass ein Trojaner platziert wurde. Wenn der das Ereignis initiierende Prozess jedoch normalerweise für das Senden von E-Mails verantwortlich ist (beispielsweise Outlook), erstellen Sie für dieses Ereignis eine Ausnahme. Es kann auch vorkommen, dass Sie feststellen, dass eine bestimmte Anzahl Clients die Signatur für Autostart auslösen, die darauf hinweist, dass in einem der folgenden Registrierungsschlüssel ein Wert geändert oder erstellt wurde: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce Da die in diesen Schlüsseln gespeicherten Werte Programme angeben, die beim Starten des Computers aufgerufen werden, kann das Erkennen dieser Signatur darauf hindeuten, dass jemand versucht, das System zu manipulieren. Es kann sich aber auch um einen harmlosen Vorgang handeln, der beispielsweise daher rührt, dass einer der Mitarbeiter auf seinem Computer McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 55 Konfigurieren von IPS-Richtlinien Überwachen von IPS-Ereignissen "WinZip" installiert. Bei der Installation von "WinZip" wird dem Registrierungsschlüssel "Run" ein Wert zugewiesen. Um zu verhindern, dass jedes Mal ein Ereignis ausgelöst wird, wenn jemand autorisierte Software installiert, müssen für diese Ereignisse Ausnahmen erstellt werden. Filtern und Aggregieren von Ereignissen Das Anwenden von Filtern erzeugt eine Liste mit Ereignissen, die den in den Filterkriterien genannten Variablen entsprechen. Das Ergebnis ist eine Liste mit Ereignissen, die all diese Kriterien erfüllen. Beim Aggregieren von Ereignissen wird eine Liste mit Ereignissen erstellt, die jeweils nach dem Wert der im Dialogfeld Wählen Sie die zu aggregierenden Spalten aus ausgewählten Variablen gruppiert sind. Das Ergebnis ist eine gruppiert dargestellte Liste mit Ereignissen, die innerhalb der Gruppe nach dem Wert der jeweiligen Gruppenvariablen sortiert sind. Verwalten von IPS-Ereignissen Die Sicherheit kann optimiert und verschärft werden, indem Sie die von Clients gemeldeten IPS-Ereignisse anzeigen und dafür Ausnahmen oder vertrauenswürdige Anwendungen erstellen. HINWEIS: IPS-Ereignisse werden zusammen mit sämtlichen Ereignissen aller Systeme auch auf der Registerkarte Ereignisprotokoll unter Berichte angezeigt. Für den Zugriff auf die Registerkarte Ereignisse unter Berichte sind zusätzliche Berechtigungen erforderlich, darunter Leseberechtigungen für das Ereignisprotokoll, für Systeme und die Systemstruktur. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberfläche auf das ? klicken. 56 1 Klicken Sie auf Menü | Berichte | Host IPS 8.0 und anschließend auf Ereignisse. 2 Wählen Sie aus der Systemstruktur die Gruppe aus, für die IPS-Ereignisse angezeigt werden sollen. Alle mit der Gruppe verknüpften Ereignisse werden aufgeführt. Standardmäßig werden nicht alle Ereignisse angezeigt. Nur Ereignisse der letzten 30 Tage werden angezeigt. 3 Legen Sie fest, in welcher Form die Liste der Ereignisse angezeigt werden soll: Zweck Vorgehensweise Auswählen der anzuzeigenden Spalten Wählen Sie Optionen | Spalten auswählen aus. Auf der Seite Spalten auswählen können Sie anzuzeigende Spalten hinzufügen, entfernen und neu anordnen. Sortieren nach einer Spalte Klicken Sie auf die Spaltenüberschrift. Filtern nach Gruppen Wählen Sie im Menü Filter die Option Nur diese Gruppe oder Diese Gruppe und alle Untergruppen aus. Filtern nach Ereigniskriterien Wählen Sie Ereignistyp, markierten Status (Gelesen, Ungelesen, Ausgeblendet, Eingeblendet), Schweregrad oder Erstelldatum aus. Klicken Sie auf Löschen, um Filtereinstellungen zu entfernen. Aggregieren von Ausnahmen Klicken Sie auf Aggregieren, wählen Sie die Kriterien aus, nach denen Ereignisse aggregiert werden sollen, und klicken Sie anschließend auf OK. Klicken Sie auf Löschen, um Aggregationseinstellungen zu entfernen. Anzeigen von Informationen zu Ereignissen Klicken Sie auf das Ereignis. Die Seite mit den Ereignisprotokollinformationen wird geöffnet. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von IPS-Richtlinien Überwachen von IPS-Ereignissen 4 5 Zwecks einer einfachen Filterung und Nachverfolgung können Ereignisse markiert werden. Aktivieren Sie dazu das Kontrollkästchen eines oder mehrerer Ereignisse, und klicken Sie dann auf den gewünschten Befehl. Option Zweck Aktionen | Als "Gelesen" markieren Das Ereignis wird als "Gelesen" markiert. Aktionen | Als "Ungelesen" markieren Das Ereignis wird als "Ungelesen" markiert. Aktionen | Als "Ausgeblendet" markieren Das Ereignis wird ausgeblendet. Aktionen | Als "Eingeblendet" markieren Ausgeblendete Ereignisse werden angezeigt. Hinweis: Um ausgeblendete Ereignisse auswählen zu können, muss zuerst danach gefiltert werden. Erstellen Sie für eine Ausnahme oder vertrauenswürdige Anwendung eine Regel. Zum Erstellen einer Ausnahme wählen Sie ein Ereignis aus, und klicken Sie auf Aktionen | Neue Ausnahme. Wenn Sie eine Anwendungsregel erstellen möchten, klicken Sie auf Aktionen | Neue vertrauenswürdige Anwendung. Informationen finden Sie unter Erstellen von Ausnahmen aus Ereignissen oder Erstellen vertrauenswürdiger Anwendungen aus Ereignissen. Erstellen von Ausnahmen anhand von Ereignissen Für Ereignisse, die in Host IPS 8.0 auf der Registerkarte Ereignisse unter Berichte oder auf der Seite Ereignisprotokoll angezeigt werden, haben Sie die Möglichkeit, eine Ausnahme zu erstellen. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberfläche auf das ? klicken. 1 Aktivieren Sie das Kontrollkästchen des Ereignisses, für das eine Ausnahme erstellt werden soll. 2 Wählen Sie Aktionen | Neue Ausnahme aus. 3 Wählen Sie im angezeigten Dialogfeld eine Zielrichtlinie für IPS-Regeln aus, und klicken Sie auf OK. Die Ausnahme wird erstellt und automatisch am Ende der Ausnahmeliste der Zielrichtlinie für IPS-Regeln eingefügt. Erstellen vertrauenswürdiger Anwendungen aus Ereignissen Für Ereignisse, die in Host IPS 8.0 auf der Registerkarte Ereignisse unter Berichte oder auf der Seite Ereignisprotokoll angezeigt werden, haben Sie die Möglichkeit, eine vertrauenswürdige Anwendung zu erstellen. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberfläche auf das ? klicken. 1 Aktivieren Sie das Kontrollkästchen des Ereignisses, für das eine vertrauenswürdige Anwendung erstellt werden soll. 2 Wählen Sie Aktionen | Neue vertrauenswürdige Anwendung aus. 3 Wählen Sie im angezeigten Dialogfeld eine Zielrichtlinie für vertrauenswürdige Anwendungen aus, und klicken Sie auf OK. Die Ausnahme wird erstellt und automatisch am Ende der McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 57 Konfigurieren von IPS-Richtlinien Überwachen von IPS-Client-Regeln Ausnahmeliste der Zielrichtlinie für vertrauenswürdige Anwendungen eingefügt. Dort kann die neue Anwendung aufgerufen oder bearbeitet werden. Überwachen von IPS-Client-Regeln IPS-Client-Regeln, die von Clients im adaptiven Modus automatisch oder aber manuell auf den Clients erzeugt werden, sofern in der Client-UI-Richtlinie die manuelle Erzeugung von Client-Regeln per Option erlaubt wurde, müssen regelmäßig analysiert werden. IPS-Client-Regeln sind Ausnahmen, die auf einem Client erstellt werden, um eine durch eine Signatur blockierte Funktion zuzulassen. Besonders zu beachten sind Ausnahmen bei Signaturen mit hohem Schweregrad, da diese auf ein ernstes Problem oder aber auch eine falsche positive Entdeckung hinweisen können. Im Falle von Letzterem verschieben Sie die Ausnahme an eine IPS-Richtlinienregel, oder passen Sie den Schweregrad der Signatur an. HINWEIS: Für den Zugriff auf IPS-Client-Regeln auf der Registerkarte Host IPS unter Berichte sind Berechtigungen erforderlich, die über diejenigen für Host Intrusion Prevention IPS hinausgehen, beispielsweise Leseberechtigungen für das Ereignisprotokoll, für Systeme und die Systemstruktur. Ausnahmen lassen sich sortieren, filtern und aggregieren, die zugehörigen Informationen anzeigen. Anschließend können einige oder alle Client-Ausnahmen in eine geeignete IPS-Regelrichtlinie umgewandelt werden, um die Anzahl der Falsch-Positiven für die gegebene Systemumgebung weiter zu verringern. Mit der Aggregierungsfunktion können Sie Ausnahmen kombinieren, die gleiche Attribute besitzen, damit lediglich eine aggregierte Ausnahme angezeigt wird, während Sie verfolgen können, wie oft diese Ausnahme eintritt. Damit lassen sich Problemzonen beim IPS-Schutz des Clients einfach auffinden. Verwalten von IPS-Client-Regeln Der IPS-Schutz kann problemlos optimiert werden, indem Sie die im adaptiven Modus automatisch oder manuell auf einem Client erstellten IPS-Client-Regeln anzeigen und in eine Richtlinie für IPS-Regeln oder vertrauenswürdige Anwendungen verschieben. HINWEIS: Für einen Zugriff auf IPS-Client-Regeln auf der Registerkarte Host IPS unter Berichte sind Berechtigungen erforderlich, die über diejenigen für Host Intrusion Prevention hinausgehen, beispielsweise Leseberechtigungen für das Ereignisprotokoll, für Systeme und die Systemstruktur. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberfläche auf das ? klicken. 58 1 Klicken Sie auf Menü | Berichte | Host IPS 8.0 und dann auf IPS-Client-Regeln. 2 Wählen Sie in der Systemstruktur die Gruppe aus, für die Client-Regeln angezeigt werden sollen. 3 Legen Sie fest, in welcher Form die Liste der Client-Regeln angezeigt werden soll: Zweck Vorgehensweise Sortieren nach einer Spalte Klicken Sie auf die Spaltenüberschrift. Filtern nach Gruppen Wählen Sie im Menü Filter die Option Nur diese Gruppe oder Diese Gruppe und alle Untergruppen aus. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von IPS-Richtlinien Überwachen von IPS-Client-Regeln 4 Zweck Vorgehensweise Nach Ausnahmekriterien filtern Wählen Sie die Zeitkriterien aus. Geben Sie Prozesspfad, Prozessnamen, Benutzernamen, Computernamen oder Signatur-ID in das Suchfeld ein, und drücken Sie die Eingabetaste. Klicken Sie auf Löschen, um Aggregationseinstellungen zu entfernen. Aggregieren von Ausnahmen Klicken Sie auf Aggregieren, wählen Sie die Kriterien aus, nach denen Ausnahmen aggregiert werden sollen, und klicken Sie anschließend auf OK. Klicken Sie auf Löschen, um Aggregationseinstellungen zu entfernen. Wenn Sie Ausnahmen in eine Richtlinie verschieben möchten, wählen Sie eine oder mehrere Ausnahmen aus der Liste aus, klicken Sie auf Ausnahme erstellen, und geben Sie anschließend die Richtlinie an, in welche die Ausnahmen verschoben werden sollen. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 59 Konfigurieren von Firewall-Richtlinien Mit den Firewall-Richtlinien von Host Intrusion Prevention wird der Schutz aktiviert und deaktiviert, und es werden Regeln zum Unterbinden von Eindringversuchen in das Netzwerk bereitgestellt, die Daten, Anwendungen oder das Betriebssystem negativ beeinträchtigen können. Inhalt Übersicht der Firewall-Richtlinien Aktivieren des Firewall-Schutzes Definieren des Firewall-Schutzes Übersicht der Firewall-Richtlinien Mit der Host Intrusion Prevention-Firewall-Funktion wird Sicherheit gewährleistet, indem der Datenverkehr in Netzwerksysteme, auf denen Windows ausgeführt wird, bzw. aus diesen Systemen herausgefiltert wird. Im Rahmen der statusbehafteten Paketfilterung und -prüfung werden Pakete verschiedener Verbindungstypen erkannt und die Attribute von Netzwerkverbindungen vom Anfang bis zum Ende der Übertragung im Speicher vorgehalten. Mit dem Host IPS-Katalog wird die Erstellung von Regeln vereinfacht, indem Sie bestehende Regeln, Gruppen, Netzwerkoptionen, Anwendungen, ausführbare Dateien und Standortdaten aus dem Katalog zu den neuen und bestehenden Firewall-Regeln und -Gruppen hinzufügen können. Diese Elemente können dem Katalog entweder einzeln (elementbasiert) oder als Stapelprozess hinzugefügt werden. Verfügbare Richtlinien Es gibt drei Firewall-Richtlinien: Mit der Richtlinie Firewall-Optionen wird der Firewall-Schutz aktiviert. Damit werden der Firewall-Schutz aktiviert bzw. deaktiviert, die Einstellungen für die statusbehaftete Firewall definiert und ein spezifischer Firewall-Schutz ermöglicht, z. B. dass ausgehender Datenverkehr nur zugelassen wird, bis der Firewall-Dienst gestartet wird, oder dass IP-Spoofing und bösartiger Datenverkehr blockiert werden. Mit der Richtlinie Firewall-Regeln wird der Firewall-Schutz bestimmt. Die Richtlinie umfasst einen Satz mit Regeln, in denen definiert wird, welche Art von Datenverkehr zulässig ist bzw. blockiert wird. Sie können diese Regeln allgemein definieren (z. B. für alle Arten von IP-basiertem Datenverkehr) oder spezifisch (z. B. durch Ermitteln einer spezifischen Anwendung oder eines spezifischen Dienstes) und dabei verschiedene Netzwerk-, Datenübertragungs-, Anwendungsund Zeitplanoptionen nutzen. Sie können Regeln zur einfacheren Verwaltung nach einer Funktion, einem Dienst oder einer Anwendung gruppieren. Für die Regelgruppen lassen sich – genau wie bei den Regeln – verschiedene Netzwerk-, Datenübertragungs-, Anwendungs-, Zeitplan- und Speicherortoptionen definieren. 60 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von Firewall-Richtlinien Übersicht der Firewall-Richtlinien Mit der Richtlinie Firewall-DNS-Blockierung wird ein Satz an Domänennamenmustern bestimmt, einschließlich Platzhaltern, die blockiert werden sollen. Wenn sie angewendet wird, fügt diese Richtlinie dynamisch eine Regel am Anfang der Firewall-Regelliste hinzu, durch die eine Auflösung der IP-Adresse für die angegebene Domäne verhindert wird. Funktionsweise von Firewall-Regeln Firewall-Regeln bestimmen, wie Netzwerkverkehr verarbeitet wird. Jede Regel bietet einen Satz an Bedingungen, die der Datenverkehr erfüllen muss, sowie eine Maßnahme, mit welcher der Datenverkehr zugelassen oder blockiert wird. Wenn Host Intrusion Prevention Datenverkehr findet, der einer Regelbedingung entspricht, dann wird die verknüpfte Aktion durchgeführt. Die Host Intrusion Prevention wendet Regeln nach Vorrang an: Die am Anfang der Firewall-Regelliste stehenden Regeln werden zuerst angewendet. Wenn der Datenverkehr die Bedingungen dieser Regel erfüllt, erlaubt Host Intrusion Prevention diesen Datenverkehr oder blockiert ihn. Es werden keine weiteren in der Regelliste enthaltenen Regeln geprüft. Wenn der Datenverkehr die Bedingung der ersten Regel jedoch nicht erfüllt, prüft Host Intrusion Prevention die nächste in der Liste enthaltene Regel. So arbeitet das Programm die Firewall-Regelliste weiter ab, bis eine Regel gefunden wird, die der Datenverkehr erfüllt. Wenn keine Regel erfüllt ist, blockiert die Firewall den Datenverkehr automatisch. Im Lernmodus wird der Benutzer aufgefordert, einzuschreiten. Im adaptiven Modus wird für den Datenverkehr eine Zulassungsregel erstellt. Es kann vorkommen, dass der abgefangene Datenverkehr mehr als eine Regel erfüllt. In diesem Fall sorgt die Vorrangfunktion dafür, dass Host Intrusion Prevention nur die erste in der Liste erfüllte Regel anwendet. Empfohlene Vorgehensweisen Wenn Sie eine Firewall-Regelrichtlinie erstellen oder anpassen, sollten Sie die spezifischeren Regeln an den Anfang der Liste stellen und die allgemeineren Regeln ans Ende. Dadurch wird gewährleistet, dass Host Intrusion Prevention den Datenverkehr angemessen filtert. Um beispielsweise alle HTTP-Anfragen zu blockieren, mit Ausnahme einer spezifischen IP-Adresse (z. B. 10.10.10.1), müssen Sie zwei Regeln erstellen: • Mit Blockierungsregel wird HTTP-Datenverkehr von Adresse 10.10.10.1 blockiert. Diese Regel ist speziell. • Mit Zulassungsregel wird sämtlicher Datenverkehr zugelassen, der den HTTP-Dienst verwendet. Diese Regel ist allgemein. Sie müssen die spezifischere Blockierregel in der Firewall-Regelliste vor der allgemeineren Zulassungsregel platzieren. Damit stellen Sie sicher, dass die Firewall, wenn Sie eine HTTP-Anfrage von der Adresse 10.10.10.1 abfängt, zuerst feststellt, welche Regel den Datenverkehr durch die Firewall blockiert. Würden Sie die allgemeinere Zulassungsregel vor der spezifischeren Blockierregel platzieren, dann würde Host Intrusion Prevention die HTTP-Anfrage mit der Zulassungsregel abgeglichen werden, bevor die Blockierregel gefunden wird. Auf diese Weise würde der Datenverkehr zugelassen werden, obwohl Sie HTTP-Anfragen von dieser Adresse blockieren möchten. Firewall-Protokolle Der Firewall-Schutz funktioniert auf verschiedenen Schichten der Netzwerkarchitektur, wobei verschiedene Kriterien angewendet werden, um den Netzwerkverkehr sinnvoll zu beschränken. Diese Netzwerkarchitektur basiert auf der TCP/IP-Suite (Transmission Control Protocol/Internet Protocol). McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 61 Konfigurieren von Firewall-Richtlinien Übersicht der Firewall-Richtlinien Verbindungsschicht Im Verbindungsschichtprotokoll werden die MAC-Methode (Media Access Control) und einige einfachere Fehlerentdeckungsoptionen beschrieben. In dieser Schicht befinden sich Ethernet LAN (802.3), drahtloses Wi-Fi (802.11x) und virtuelles LAN (VPN). Sowohl bei Firewall-Regeln als auch bei Firewall-Gruppen wird zwischen kabelgebundenen, drahtlosen und virtuellen Verbindungen unterschieden. Netzwerkschicht In den Netzwerkschichtprotokollen werden die Adressenschemas für das gesamte Netzwerk sowie Routing- und Netzwerksteuerungsschemas definiert. Es werden darüber hinaus auch beliebige Nicht-IP-Protokolle unterstützt; bei diesen können jedoch keine Parameter für die Netzwerk- bzw. Transportschicht ermittelt werden. Im besten Fall kann der Administrator auf diese Weise die Netzwerkschichtprotokolle blockieren oder zulassen. Die den Nicht-IP-Protokollen zugeordneten Zahlen basieren auf den Ethernet-Werten, die von der IANA (Internet Assigned Numbers Authority) definiert und unter http://www.iana.org/assignments/ethernet-numbers veröffentlicht werden. Die Host IPS-Firewall unterstützt IPv4 und IPv6 auf Windows XP, Windows Vista, Windows Server 2008 und Windows 7. Transportschichten IP kann als Netzwerkprotokoll für verschiedene Transportprotokolle verwendet werden. Im Allgemeinen finden vier Protokolle Anwendung: TCP, UDP (User Datagram Protocol) sowie ICMPv4 und ICMPv6 (Internet Control Message Protocol, Version 4 und 6). TCP TCP ist ein verbindungsorientiertes zuverlässiges Transportprotokoll. Es stellt sicher, dass die in den Netzwerkpaketen enthaltenen Daten zuverlässig und in der richtigen Reihenfolge geliefert werden. TCP steuert außerdem die Geschwindigkeit, mit der Daten übertragen und empfangen werden. Dies erzeugt einen gewissen Aufwand und führt dazu, dass die zeitliche Steuerung für TCP-Vorgänge bei suboptimalen Netzwerkbedingungen nicht vorhersagbar ist. TCP ist die Transportschicht, die von der Mehrzahl der Anwendungsprotokolle genutzt wird: HTTP, FTP, SMTP, RDP, SSH, POP und IMAP verwenden allesamt TCP. TCP wird zum Multiplexing zwischen Anwendungsschichtprotokollen verwendet und nutzt dazu das Konzept der "Ports". Jedes TCP-Paket enthält eine Quell- und eine Zielportnummer zwischen 0 und 65535. Normalerweise hört die Serverseite einer TCP-Verbindung Verbindungen an einem festen Port ab. Die Ports 0 bis 1023 sind "bekannten Ports" vorbehalten. Die Zahlen in diesem Bereich sind normalerweise Protokollen der IANA (www.iana.org/assignments/protocol-numbers) zugeordnet, und die meisten Betriebssysteme benötigen einen Vorgang für besondere Berechtigungen, um einen dieser Ports abzuhören. Firewall-Regeln sind im Allgemeinen so definiert, dass bestimmte Ports blockiert und andere zugelassen sind, und begrenzen auf diese Weise die Aktivitäten im Netzwerk. UDP Bei UDP handelt es sich um ein verbindungsloses Transportprotokoll auf der Basis der "besten Leistung". Es kann keine Zuverlässigkeit und Paketreihenfolge sichergestellt werden, und es sind keine Funktionen zur Durchflusssteuerung verfügbar. In der Praxis verfügt UDP über einige höchst wünschenswerte Eigenschaften für bestimmte Datenverkehrklassen. 62 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von Firewall-Richtlinien Übersicht der Firewall-Richtlinien UDP wird häufig als Transportprotokoll für Performance-intensive Anwendungen (die möglicherweise die Zuverlässigkeit und Paketreihenfolge von TCP im Anwendungsprotokoll teilweise implementieren) sowie in Echtzeit-Multimediaanwendungen genutzt, bei denen ein verlorenes Paket nur zu einem vorübergehenden Fehler im Datenstrom führt und dies eher akzeptiert werden kann, als wenn der Datenstrom anhält, weil auf eine erneute Übertragung gewartet wird. In IP-Telefonie- und Videokonferenz-Software wird häufig UDP verwendet, ebenso wie in einigen Multiplayer-Videospielen. Das Multiplexing-Schema in UDP entspricht dem von TCP: Jedes Datagramm enthält eine Quellund eine Zielportnummer zwischen 0 und 65535. ICMP ICMP wird als Out-of-Band-Kommunikationskanal zwischen IP-Hosts verwendet. Dies ist bei einer Fehlerbehebung hilfreich. Darüber hinaus ist es für eine korrekte Funktionsweise eines IP-Netzwerks erforderlich, da es als Fehlerberichtsmechanismus genutzt wird. IPv4 und IPv6 weisen unterschiedliche und voneinander unabhängige ICMP-Protokollvarianten auf. ICMPv4 wird häufig auch als "einfaches ICMP" bezeichnet. ICMPv6 ist insbesondere in einem IPv6-Netzwerk wichtig, da es für verschiedene wichtige Aufgaben wie Neighbor Discovery verwendet wird (in einem IPv4-Netzwerk wird diese Aufgabe von ARP verarbeitet). Es wird unbedingt davon abgeraten, dass Benutzer den ICMPv6-Datenverkehr blockieren, wenn IPv6 im Netzwerk unterstützt wird. Anstelle von Portnummern wird bei beiden Versionen von ICMP eine bestimmte Anzahl von "Meldungstypen" definiert. Die Echo-Anforderung und die Echo-Antwort werden für Ping-Vorgänge genutzt. Mit der Meldung "Netzwerkziel nicht erreichbar" werden Routingfehler angezeigt. ICMP implementiert außerdem eine Routenverfolgungsfunktion. UDP und TCP können jedoch ebenfalls für diesen Zweck verwendet werden. Andere Transportprotokolle IP unterstützt mehr als hundert andere Transportprotokolle, die meisten davon finden jedoch selten Anwendung. Die vollständige Liste der von der IANA anerkannten Protokolle wird zumindest minimal unterstützt. Es können Regeln erstellt werden, um Datenverkehr für sämtliche IP-Transportprotokolle zuzulassen bzw. zu blockieren, auch wenn die Firewall keine Multiplexing-Vorgänge unterstützt, die möglicherweise bei diesen Protokollen genutzt werden. Einige Protokolle werden verwendet, um andere Netzwerktypen über ein IP-Netzwerk zu legen (Network Tunneling). Einige davon (insbesondere GRE, AH und ESP) werden für die IP-Verschlüsselung und für VPNs verwendet. Die IP-Protokollnummern sind unter www.iana.org/assignments/protocol-numbers aufgeführt. Häufig verwendete nicht unterstützte Protokolle Es gibt verschiedene Netzwerkprotokolle, die von der Host IPS-Firewall nicht unterstützt werden. Der Datenverkehr dieser Protokolle, meist mit einem nicht analysierbaren EtherType, wird entweder immer blockiert oder immer zugelassen, je nachdem, ob die entsprechende Option (Datenverkehr für nicht unterstützte Protokolle erlauben) in der Richtlinie "Firewall-Optionen" aktiviert ist. Funktionsweise von Firewall-Regelgruppen Zwecks einer einfachen Verwaltung können Firewall-Regeln in Gruppen angeordnet werden. Regelgruppen haben keine Auswirkung auf die Art und Weise, wie Host Intrusion Prevention die darin enthaltenen Regeln behandelt, diese werden auch hier von oben nach unten abgearbeitet. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 63 Konfigurieren von Firewall-Richtlinien Übersicht der Firewall-Richtlinien Gruppen sind mit vielen Elementen verknüpft, die mit Regeln verknüpft sind, einschließlich Netzwerk- und Datenübertragungsoptionen, Anwendungen und Zeitplänen. Darüber hinaus verfügen Gruppen über Standorteinstellungen, durch die Gruppen als "standortabhängig" festgelegt werden können und eine Konnektivitätsisolation erzeugt werden kann. Die Einstellungen für die Gruppe werden vor der Verarbeitung der Einstellungen für die darin enthaltenen Regeln verarbeitet. Falls zwischen beiden ein Konflikt besteht, haben die Einstellungen für die Gruppe Vorrang. HINWEIS: Wenn die Konnektivitätsisolation auf der Registerkarte "Ort" aktiviert ist, kann eine Gruppe keine verknüpften Datenübertragungsoptionen und Anwendungen enthalten. Festlegen von Gruppen als standortabhängige Gruppen Mit Host Intrusion Prevention können Sie eine Gruppe und die darin enthaltenen Regeln als "standortabhängig" festlegen. Über die Registerkarten "Ort" und "Netzwerkoptionen" der Gruppe können Sie Gruppen so konfigurieren, dass Netzwerkadapter berücksichtigt werden. Bei Computern mit verschiedenen Netzwerkschnittstellen können damit adapterspezifische Regeln angewendet werden. Nachdem der Speicherortstatus aktiviert und der Speicherort benannt wurden, können die Parameter für zugelassene Verbindungen für jeden Netzwerkadapter einen beliebigen oder alle der folgenden Parameter enthalten: Registerkarte "Ort": • Verbindungsspezifisches DNS-Suffix • Gateway-IP • DHCP-IP • DNS-Server für die Auflösung von URLs • Verwendeter WINS-Server • Registrierungsschlüssel Registerkarte "Netzwerkoptionen": • Lokale IP-Adresse • Medientyp Wenn zwei standortabhängige Gruppen für eine Verbindung zutreffen, verwendet Host Intrusion Prevention den normalen Vorrang und verarbeitet die erste zutreffende Gruppe in der Regelliste. Wenn in der ersten Gruppe keine Regel übereinstimmt, wird die Regelverarbeitung fortgesetzt, und es kann eine Übereinstimmung mit einer Regel in der nächsten Gruppe vorliegen. Wenn Host Intrusion Prevention die Parameter einer standortabhängigen Gruppe mit einer aktiven Verbindung abgleicht, werden die in der Gruppe enthaltenen Regeln angewendet. Die Regeln werden als kleine Regelmenge behandelt und der normale Vorrang eingehalten. Wenn der abgefangene Datenverkehr einige Regeln nicht erfüllt, werden diese von der Firewall ignoriert. Beachten Sie Folgendes: • Bei Auswahl von Speicherortstatus muss der Name eines Speicherorts eingegeben werden. • Wenn Lokales Netzwerk ausgewählt ist, muss die IP-Adresse des Adapters mit einem der Einträge in der Liste übereinstimmen. • Wenn DNS-Suffix ausgewählt ist, muss das DNS-Suffix des Adapters mit einem der Einträge in der Liste übereinstimmen. • Wenn Standard-Gateway ausgewählt ist, muss die IP-Adresse des Standard-Gateway-Adapters mit mindestens einem der Listeneinträge übereinstimmen. • Wenn DHCP-Server ausgewählt ist, muss die IP-Adresse des DHCP-Server-Adapters mit mindestens einem der Listeneinträge übereinstimmen. 64 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von Firewall-Richtlinien Übersicht der Firewall-Richtlinien • Wenn DNS-Server-Liste ausgewählt ist, muss die IP-Adresse des DNS-Server-Adapters mit einem beliebigen der Listeneinträge übereinstimmen. • Wenn Primärer WINS-Server ausgewählt ist, muss die IP-Adresse des primären WINS-Server-Adapters mit mindestens einem der Listeneinträge übereinstimmen. • Wenn Sekundärer WINS-Server ausgewählt ist, muss die IP-Adresse des sekundären WINS-Server-Adapters mit mindestens einem der Listeneinträge übereinstimmen. Konnektivitätsisolation für Firewall-Regelgruppe Eine Konnektivitätsisolationsoption ist für Gruppen verfügbar, um unerwünschten Datenverkehr daran zu hindern, auf ein ausgewiesenes Netzwerk zuzugreifen. Dies kann über andere aktive Netzwerkschnittstellen eines Computers erfolgen (z. B. über einen Drahtlosadapter, der mit einem Wi-Fi-Hotspot verbunden ist, während ein verkabelter Adapter mit einem LAN verbunden ist). Wenn die Option Diese Verbindung isolieren in den Standorteinstellungen einer Gruppe ausgewählt ist und eine aktive Netzwerkkarte (NIC) den Gruppenkriterien entspricht, dann wird nur Datenverkehr verarbeitet, der mit Erlaubnisregeln oberhalb der Gruppe in der Firewall-Regelliste übereinstimmt, sowie Datenverkehr, der den Gruppenkriterien entspricht. Sonstiger Datenverkehr wird blockiert. HINWEIS: Gruppen, für die die Konnektivitätsisolation aktiviert ist, können keine verknüpften Datenübertragungsoptionen und Anwendungen enthalten. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 65 Konfigurieren von Firewall-Richtlinien Übersicht der Firewall-Richtlinien Abbildung 2: Netzwerk-Konnektivitätsisolation Als Anwendungsbeispiel für die Option Netzwerk-Konnektivitätsisolation betrachten wir zwei Fälle: eine Unternehmensumgebung und ein Hotel. Die Liste aktiver Firewall-Regeln enthält Regeln und Gruppen in folgender Reihenfolge: 1 Grundlegende Verbindungsregeln 2 Verbindungsregeln für VPN 3 Gruppe mit Verbindungsregeln für Unternehmensnetzwerke 4 Gruppe mit VPN-Verbindungsregeln Netzwerk-Konnektivitätsisolation im Unternehmensnetzwerk Verbindungsregeln werden abgearbeitet, bis die Gruppe mit Verbindungsregeln für Unternehmensnetzwerke erreicht wird. Diese Gruppe umfasst folgende Einstellungen: • Medientyp = Kabelgebunden • Verbindungsspezifisches DNS-Suffix = meinunternehmen.de • Standard-Gateway-Adresse 66 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von Firewall-Richtlinien Übersicht der Firewall-Richtlinien • Diese Verbindung isolieren = ja Der Computer verfügt sowohl über LAN- und Drahtlos-Netzwerkadapter und ist über Netzwerkkabel mit dem Unternehmensnetzwerk verbunden. Die Drahtlosschnittstelle ist aber noch aktiv und verbindet sich daher mit einem Hotspot außerhalb des Betriebsgeländes. Der Computer ist mit beiden Netzwerken verbunden, da die grundlegenden Verbindungsregeln oben an der Liste der Firewall-Regeln angeordnet sind. Die LAN-Kabelverbindung ist aktiv und entspricht den Kriterien der Verbindungsgruppe des Unternehmensnetzwerks. Die Firewall verarbeitet den Netzwerkverkehr durch das LAN, blockiert aber weiteren Netzwerkverkehr außerhalb des LAN aufgrund der aktivierten Netzwerk-Konnektivitätsisolation. Netzwerk-Konnektivitätsisolation in einem Hotel Verbindungsregeln werden abgearbeitet, bis die Gruppe mit VPN-Verbindungsregeln erreicht wird. Diese Gruppe umfasst folgende Einstellungen: • Verbindungstyp = virtuell • DNS-Suffix = vpn.meinunternehmen.de • IP-Adresse = eine Adresse im Adressbereich des VPN-Konzentrators • Diese Verbindung isolieren = ja Über allgemeine Verbindungsregeln lässt sich ein zeitlich begrenztes Konto für den Internetzugang in einem Hotel einrichten. Die VPN-Verbindungsregeln ermöglichen die Verbindung mit dem VPN-Tunnel und dessen Nutzung. Nach dem Aufbau des Tunnels erzeugt der VPN-Client einen virtuellen Netzwerkadapter, der den Kriterien der VPN-Gruppe entspricht. Die Firewall beschränkt den zugelassenen Netzwerkverkehr (mit Ausnahme des Basisverkehrs des physischen Adapters selbst) auf den VPN-Tunnel. Versuche anderer Hotelgäste, drahtlos oder per Netzwerkkabel über das Netzwerk auf den Computer zuzugreifen, werden blockiert. Funktionsweise des Host IPS-Katalogs Mit dem Host IPS-Katalog wird die Erstellung von Firewall-Regeln und -Gruppen vereinfacht, indem Sie auf bestehende Regeln, Gruppen, Netzwerkadressen, Anwendungen, ausführbare Dateien und Standortdaten von Gruppen verweisen können. Darüber hinaus können Sie auf ausführbare Dateien für Anwendungen verweisen, die in den IPS-Schutz eingebunden sind. Beim Verweis auf ein Katalogelement können Sie eine abhängige Verknüpfung zwischen diesem Element und einer Firewall-Regel oder -Gruppe erstellen. Eine Änderung des Elements im Katalog führt damit zu einer Änderung des Elements in allen Vorkommen. Wenn Sie die Abhängigkeit wieder entfernen möchten, können Sie die Verknüpfung zwischen dem Katalogelement und einer Regel oder Gruppe wieder aufheben. Der Host IPS-Katalog, der in ePolicy Orchestrator unter "Richtlinie" zu finden ist, umfasst sechs Seiten, in denen die zuvor platzierten Firewall-Regel- und -Gruppenelemente aufgelistet sind. Die Elemente können individuell im Katalog erstellt werden, durch Verknüpfung der Elemente mit bereits erstellten in neuen Firewall-Regeln und -Gruppen hinzugefügt werden oder aus XML-Format-Exporten oder Firewall-Regelrichtlinien importiert werden. Die Katalogseiten umfassen: • Gruppe: Liste der Firewall-Gruppen und -Eigenschaften • Regel: Liste der Firewall-Regeln und -Eigenschaften • Anwendung: Liste der Anwendungen, auf die in einer Firewall-Gruppe oder -Regel verwiesen wird McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 67 Konfigurieren von Firewall-Richtlinien Übersicht der Firewall-Richtlinien • Ausführbare Datei: Liste der ausführbaren Dateien, die an Anwendungen angefügt werden, auf die in einer Firewall-Gruppe oder -Regel oder in IPS-bezogenen Anwendungen verwiesen wird • Netzwerk: Liste der IP-Adressen, auf die in einer Firewall-Gruppe oder -Regel verwiesen wird • Speicherort: Liste der standortspezifischen Informationen für Firewall-Gruppen Tabelle 7: Host IPS-Katalog als Quelle für Elemente Funktion Richtlinie Richtlinienelemente Katalogelement Abhängigkeit Firewall Firewall-Regeln Firewall-Regel Regel Ja Firewall Firewall-Regeln Firewall-Gruppe Gruppe Ja Firewall Firewall-Regeln Speicherort Firewall-Gruppe Speicherort Ja Firewall Firewall-Regeln Firewall-Regel/Gruppe Netzwerk Ja Firewall Firewall-Regeln Firewall-Regel/Gruppe Anwendung Ja Firewall Firewall-Regeln Firewall-Regel-/Gruppen-Anwendung Ausführbare Datei Ja IPS IPS-Regeln Anwendungsschutzregel Ausführbare Datei Nein Vertrauenswürdige Anwendung Ausführbare Datei Nein Allgemein Vertrauenswürdige Anwendungen Katalogfilter Jede Katalogseite enthält einen Filter, um auf der Seite nach Elementen in der Liste zu suchen. Klicken Sie auf Filteroptionen ein-/ausblenden, um den Filter anzuzeigen oder auszublenden. Klicken Sie auf Filter festlegen, um nach den eingegebenen Kriterien zu suchen. Klicken Sie auf Löschen, um den Filter zurückzusetzen. Kopieren aus dem Katalog Klicken Sie bei der Verwendung des Firewall-Regelgenerators bzw. Firewall-Gruppengenerators auf die Schaltfläche Aus Katalog hinzufügen, um das entsprechende Element aus dem Katalog hinzuzufügen. Auf diese Weise wird eine Verknüpfung zwischen diesen Elementen erstellt, die bei Bedarf wieder aufgelöst werden kann. Hinzufügen zum Katalog Sie haben drei Möglichkeiten, um dem Katalog Elemente hinzuzufügen: • Klicken Sie auf der Katalogseite auf Neu, geben Sie die Informationen ein, und speichern Sie das Element. • Klicken Sie neben dem Element auf Zu Katalog hinzufügen, wenn Sie Regeln oder Gruppen mithilfe des Firewall-Regelgenerators bzw. Firewall-Gruppengenerators erstellen oder bearbeiten. • Klicken Sie auf Importieren, um zuvor exportierte Host IPS-Katalogdaten im XML-Format hinzuzufügen. HINWEIS: Richtlinienkatalogexporte im XML-Format sind nicht kompatibel mit dem Host IPS-Katalog-XML-Format. Sie können also keine Richtlinie für Firewall-Regeln aus dem Richtlinienkatalog exportieren und diese in den Host IPS-Katalog importieren, um sie mit Firewall-Regeldaten aus der Richtlinie aufzufüllen. Um Firewall-Richtliniendaten in den Host IPS-Katalog zu übernehmen, müssen Sie die Verknüpfung über Zu Katalog hinzufügen nutzen. 68 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von Firewall-Richtlinien Übersicht der Firewall-Richtlinien Statusbehaftete Firewall-Paketfilterung und -prüfung Die Firewall in Host Intrusion Prevention bietet sowohl statusbehaftete Paketfilterung als auch statusbehaftete Paketprüfung. Die statusbehaftete Paketfilterung ist die statusbehaftete Nachverfolgung der TCP-/UDP-/ICMP-Protokollinformationen auf der Transportschicht (4) und darunter im OSI-Netzwerkstapel. Jedes Paket wird geprüft, und wenn das inspizierte Paket mit einer bestehenden Firewall-Regel übereinstimmt, wird das Paket erlaubt, und es wird ein Eintrag in einer Statustabelle vorgenommen. Die Statustabelle verfolgt dynamisch Verbindungen, die zuvor mit einem statischen Regelsatz abgeglichen wurden, und spiegelt den aktuellen Verbindungsstatus der TCP-/UDP-/ICMP-Protokolle wider. Wenn ein inspiziertes Paket mit einem bestehenden Eintrag in der Statustabelle übereinstimmt, wird das Paket ohne weitere Analysen erlaubt. Wenn eine Verbindung geschlossen wird oder ein Timeout vorliegt, wird der entsprechende Eintrag aus der Statustabelle entfernt. Die statusbehaftete Paketprüfung ist der Prozess der statusbehafteten Paketfilterung und des Nachverfolgens von Befehlen auf der Anwendungsschicht (7) des Netzwerkstapels. Diese Kombination bietet eine klare Definition des Verbindungsstatus des Computers. Der Zugriff auf die Befehle der Anwendungsschicht bietet eine transparente Prüfung und Sicherung des FTP-Protokolls. Firewall-Statustabelle Eine statusbehaftete Firewall führt eine Statustabelle, die dynamisch Informationen zu aktiven Verbindungen speichert, die durch Erlaubnisregeln erstellt wurden. Jeder Eintrag in der Tabelle definiert eine Verbindung auf Grundlage folgender Faktoren: • Protokoll – Der vordefinierte Weg, wie ein Dienst mit einem anderen kommuniziert; dies umfasst TCP-, UDP- und ICMP-Protokolle. • IP-Adressen lokaler und entfernter (Remote-) Computer – Jedem Computer ist eine eindeutige IP-Adresse zugewiesen. Der aktuelle Standard für IP-Adressen, IPv4, erlaubt Adresslängen bis zu 32 Bit. Der neuere Standard, IPv6, erweitert den Adressbereich auf 128 Bit Adresslänge. IPv6 wird bereits von einigen Betriebssystemen unterstützt, beispielsweise von Windows Vista und einigen Linux-Distributionen. Mit Host Intrusion Prevention werden beide Standards unterstützt. • Portnummern lokaler und entfernter (Remote-) Computer – Ein Computer sendet und empfängt Dienstedaten über nummerierte Ports (logische Anschlüsse). Beispielsweise steht der HTTP-Dienst typischerweise auf Port 80 zur Verfügung und der FTP-Dienst auf Port 21. Die Portnummern reichen von 0 bis 65535. • Prozess-ID (PID) – Ein eindeutiges Erkennungsmerkmal für den Prozess, der mit dem Verkehr einer Verbindung verknüpft ist. • Zeitstempel – Die Zeit des letzten eingehenden oder ausgehenden Pakets, das mit der Verbindung verknüpft ist. • Timeout: Die in der Richtlinie "Firewall-Optionen" festgelegte Zeitdauer (in Sekunden), nach der der Eintrag aus der Tabelle entfernt wird, wenn über die Verbindung kein Paket mehr empfangen wird. Das Timeout für TCP-Verbindungen wird nur erzwungen, wenn die Verbindung nicht aktiv ist. • Richtung – Die Richtung (eingehend oder ausgehend) des Verkehrs, der den Eintrag ausgelöst hat. Nachdem eine Verbindung eingerichtet wurde, wird selbst bidirektionaler Verkehr auch für unidirektionalen Regeln erlaubt, vorausgesetzt, der Eintrag stimmt mit den Parametern der Verbindung in der Statustabelle überein. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 69 Konfigurieren von Firewall-Richtlinien Übersicht der Firewall-Richtlinien Beachten Sie bitte folgende Informationen über die Statustabelle: • Wenn die Firewall-Regeleinstellungen sich ändern, werden alle aktiven Verbindungen gegen den neuen Regelsatz geprüft. Wenn keine übereinstimmende Regel gefunden wird, wird der Verbindungseintrag aus der Statustabelle entfernt. • Wenn ein Adapter eine neue IP-Adresse empfängt, erkennt die Firewall die neue IP-Konfiguration und verweigert alle Einträge in der Statustabelle aufgrund einer ungültigen lokalen IP-Adresse. • Mit Beendigung des Prozesses werden alle mit diesem Prozess verknüpften Einträge in der Statustabelle gelöscht. Funktionsweise der statusbehafteten Filterung Die statusbehaftete Filterung beinhaltet die Verarbeitung eines Pakets anhand von zwei Regelsätzen, einem konfigurierbaren Firewall-Regelsatz und einem dynamischen Firewall-Regelsatz bzw. einer Statustabelle. Die konfigurierbaren Regeln haben zwei mögliche Aktionen: • Zulassen – Das Paket wird erlaubt, und es wird ein Eintrag in der Statustabelle vorgenommen. • Blockieren – Das Paket wird blockiert, und es wird kein Eintrag in der Statustabelle vorgenommen. Die Einträge der Statustabelle stammen aus der Netzwerkaktivität und spiegeln den Status des Netzwerkstapels wider. Jede Regel der Statustabelle besitzt nur eine Aktion, Zulassen, wodurch Pakete in Übereinstimmung mit einer Regel der Statustabelle automatisch erlaubt werden. Der Filterprozess umfasst die folgenden Schritte: 1 Die Firewall vergleicht ein eingehendes Paket mit den Einträgen in der Statustabelle. Wenn das Paket einem beliebigen Eintrag in der Tabelle entspricht, wird es sofort erlaubt. Wenn nicht, wird die Liste der konfigurierbaren Firewall-Regeln überprüft. HINWEIS: Ein Eintrag in der Statustabelle wird als Übereinstimmung angesehen, wenn das Protokoll, die lokale Adresse, der lokale Port, die Remote-Adresse und der Remote-Port denen des Pakets entsprechen. 70 2 Wenn das Paket einer Erlauben-Regel entspricht, wird es erlaubt und ein Eintrag in der Statustabelle erstellt. 3 Wenn das Paket mit einer Blockierregel übereinstimmt, wird es blockiert. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von Firewall-Richtlinien Übersicht der Firewall-Richtlinien 4 Wenn das Paket mit keiner konfigurierbaren Regel übereinstimmt, wird es blockiert. Abbildung 3: Statusbehafteter Filterprozess Funktionsweise der statusbehafteten Paketprüfung Die statusbehaftete Paketprüfung kombiniert die statusbehaftete Filterung mit dem Zugriff auf Befehle der Anwendungsebene, wodurch Protokolle wie FTP gesichert werden. FTP umfasst zwei Verbindungen: Steuerung für Befehle und Daten für die Information. Wenn ein Client eine Verbindung zu einem FTP-Server herstellt, wird der Steuerungskanal eingerichtet, der am FTP-Zielport 21 eingeht, und es wird ein Eintrag in der Statustabelle vorgenommen. Wenn die Firewall auf eine Verbindung stößt, die auf Port 21 geöffnet ist, führt sie eine statusbehaftete Paketprüfung auf den Paketen durch, die über den FTP-Steuerungskanal eingehen, wenn die Option für die FTP-Prüfung mit der Richtlinie "Firewall-Optionen" festgelegt wurde. Wenn der Steuerungskanal geöffnet ist, kommuniziert der Client mit dem FTP-Server. Die Firewall interpretiert den PORT-Befehl des Paketes und erstellt einen zweiten Eintrag in der Statustabelle, um die Datenverbindung zu erlauben. Wenn sich der FTP-Server im aktiven Modus befindet, öffnet der Server die Datenverbindung. Im passiven Modus initiiert der Client die Verbindung. Wenn der Server den ersten Datenübertragungsbefehl (LIST) empfängt, öffnet er die Datenverbindung in Richtung des Clients und überträgt die Daten. Der Datenkanal wird geschlossen, nachdem die Übertragung abgeschlossen ist. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 71 Konfigurieren von Firewall-Richtlinien Übersicht der Firewall-Richtlinien Die Kombination aus Steuerungsverbindung und einer oder mehrerer Datenverbindungen wird als Sitzung bezeichnet, und die dynamischen FTP-Regeln werden gelegentlich als Sitzungsregeln bezeichnet. Die Sitzung wird aufrechterhalten, bis der Steuerungskanaleintrag aus der Statustabelle gelöscht wird. Während der regelmäßigen Bereinigung der Tabelle werden alle Datenverbindungen nacheinander gelöscht, wenn der Steuerungskanal einer Sitzung gelöscht wurde. Statusbehaftete Protokollverfolgung Hier werden die durch die statusbehaftete Firewall überwachten Protokollverbindungstypen und deren Behandlung zusammengefasst. Protokoll Beschreibung der Verarbeitung UDP Eine UDP-Verbindung wird der Statustabelle hinzugefügt, wenn eine übereinstimmende statische Regel gefunden wird und die Aktion für die Regel "Erlauben" lautet. Generische UDP-Verbindungen, die Protokolle auf der Anwendungsschicht befördern, die der Firewall unbekannt sind, verbleiben in der Statustabelle, sofern die Verbindung nicht länger im Ruhezustand ist als der angegebene Zeitraum für das Timeout. ICMPv4/v6 Nur die Nachrichtentypen "ICMP Echo Request" und "Echo Reply" werden nachverfolgt. HINWEIS: Im Gegensatz zu dem zuverlässigen, verbindungsorientierten TCP-Protokoll sind UDP und ICMPv4/v6 weniger verlässliche, verbindungslose Protokolle. Um diese Protokolle zu sichern, sieht die Firewall generische UDP- und ICMP-Verbindungen als virtuelle Verbindungen an, die nur so lange gehalten werden, bis die Verbindung länger im Ruhezustand ist als der Zeitraum, der für das Timeout für diese Verbindung angegeben wurde. Das Timeout für virtuelle Verbindungen wird mit der Richtlinie "Firewall-Optionen" festgelegt. Bei Nutzung von IPv6 wird die statusbehaftete Firewall nur von Windows Vista und neueren Plattformen unterstützt. TCP TCP-Protokolle arbeiten mit dem Drei-Wege-Handshake. Wenn ein Client-Computer eine neue Verbindung initiiert, sendet er ein Paket an das Ziel mit einem gesetzten SYN-Bit, was auf eine neue Verbindung hinweist. Der Zielpunkt antwortet, indem er ein Paket an den Client mit einem SYN-ACK-Bit sendet. Der Client antwortet dann, indem er ein Paket mit einem gesetzten ACK-Bit sendet, und die statusbehaftete Verbindung wird eingerichtet. Alle ausgehenden Pakete werden erlaubt, aber nur eingehenden Pakete, die Teil der eingerichteten Verbindung sind, werden erlaubt. Von einer Ausnahme ist die Rede, wenn die Firewall erst das TCP-Protokoll abfragt und alle zuvor bestehenden Verbindungen hinzufügt, die mit den statischen Regeln übereinstimmen. Zuvor bestehende Verbindungen ohne eine damit übereinstimmende statische Regel werden blockiert. Das in der Richtlinie "Firewall-Optionen" festgelegte Timeout für TCP-Verbindungen wird nur erzwungen, wenn die Verbindung nicht mehr aktiv ist. Ein zweites oder erzwungenes TCP-Timeout gilt nur für eingerichtete TCP-Verbindungen. Dieses Timeout wird durch eine Registrierungseinstellung gesteuert und hat den Standardwert von einer Stunde. Alle vier Minuten fragt die Firewall den TCP-Stapel ab und schließt Verbindungen aus, die nicht durch TCP gemeldet werden. DNS Über einen Query-/Response-Abgleich wird gewährleistet, dass DNS-Antworten nur für den lokalen Port erlaubt werden, der die Anforderung initiiert hat, und nur von einer Remote-IP-Adresse ausgehend, die innerhalb des virtuellen UDP-Verbindungs-Timeout-Intervalls abgefragt wurde. Eingehende DNS-Antworten werden unter folgenden Bedingungen erlaubt: DHCP 72 • Die Verbindung in der Statustabelle ist nicht abgelaufen. • Die Antwort stammt von derselben Remote-IP-Adresse und dem Port, von dem aus die Anforderung geschickt wurde. Über einen Query-/Response-Abgleich wird gewährleistet, dass ausgegebene Pakete nur für legitime Anforderungen erlaubt werden. Somit werden eingehende DHCP-Antworten unter folgenden Bedingungen erlaubt: • Die Verbindung in der Statustabelle ist nicht abgelaufen. • Die Transaktions-ID der Antwort entspricht derjenigen der Anfrage. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von Firewall-Richtlinien Übersicht der Firewall-Richtlinien Protokoll Beschreibung der Verarbeitung FTP • Die Firewall führt die statusbehaftete Paketprüfung auf TCP-Verbindungen durch, die auf Port 21 geöffnet wurden. Die Prüfung findet nur im Steuerungskanal statt, die erste Verbindung, die auf diesem Port geöffnet wurde. • Die FTP-Prüfung findet nur für Pakete statt, die neue Informationen tragen. Erneut übertragene Pakete werden ignoriert. • Dynamische Regeln werden in Abhängigkeit der Richtung (Client/Server) und des Modus (aktiv/passiv) erstellt: • Aktiver Client-FTP-Modus: Die Firewall erstellt eine dynamische Regel für eingehenden Verkehr, nachdem der eingehende PORT-Befehl erkannt und auf Compliance mit RFC 959 geprüft wurde. Die Regel wird gelöscht, wenn der Server die Datenverbindung initiiert oder wenn die Regel abläuft. • Aktiver Server-FTP-Modus: Die Firewall erstellt eine dynamische Regel für ausgehenden Verkehr, nachdem der eingehende PORT-Befehl erkannt wurde. • Passiver Client-FTP-Modus: Die Firewall erstellt eine dynamische Regel für ausgehenden Verkehr, wenn sie die Antwort auf den PASV-Befehl liest, die vom FTP-Server gesendet wurde, vorausgesetzt, sie kennt den PASV-Befehl vom FTP-Client und der PASV-Befehl ist mit RFC 959 konform. Die Regel wird gelöscht, wenn der Client die Datenverbindung initiiert oder wenn die Regel abläuft. • Passiver Server-FTP-Modus: die Firewall erstellt eine dynamische Regel für eingehenden Verkehr. Auswirkungen des Lernmodus und des adaptiven Modus auf die Firewall Wenn Sie die Firewall-Funktion aktivieren, überwacht Host Intrusion Prevention kontinuierlich den von einem Computer gesendeten und darauf empfangenen Netzwerkdatenverkehr. Auf der Grundlage der Firewall-Regelrichtlinie kann Datenverkehr zugelassen oder blockiert werden. Wenn der Datenverkehr keiner bestehenden Regel entspricht, wird er automatisch blockiert – sofern der Lernmodus oder der adaptive Modus der Firewall aktiviert ist. Im Lernmodus zeigt Host Intrusion Prevention eine Lernmodus-Warnung an, wenn unbekannter Netzwerkverkehr abgefangen wird. In diesem Dialogfeld wird der Benutzer aufgefordert, Datenverkehr, der keiner der vorhandenen Regeln entspricht, zuzulassen oder zu blockieren. Dabei werden automatisch dynamische Regeln für nicht übereinstimmenden Datenverkehr erstellt. Den Lernmodus können Sie nur für die eingehende Kommunikation, nur für die ausgehende Kommunikation oder für beide Richtungen aktivieren. Im adaptiven Modus erstellt die Host Intrusion Prevention automatisch eine Zulassungsregel, die jeden Datenverkehr zulässt, der mit keiner der vorhandenen Blockierregeln übereinstimmt. Dabei werden automatisch dynamische Zulassungsregeln für nicht übereinstimmenden Datenverkehr erstellt. Weitere Informationen zum Verwenden des adaptiven Modus mit der Firewall finden Sie unter Häufig gestellte Fragen – Adaptiver Modus unter Verwalten Ihres Schutzes. Aus Sicherheitsgründen werden jedoch in beiden Modi (Lernmodus und adaptiver Modus) eingehende Pings blockiert, sofern nicht eine explizite Zulassungsregel für eingehenden ICMP-Datenverkehr erstellt wird. Außerdem wird eingehender Datenverkehr an einem Port, der auf dem Host nicht geöffnet ist, blockiert, sofern nicht für den Datenverkehr eine explizite Zulassungsregel erstellt wird. Beispiel: Wenn der Telnet-Dienst auf dem Host nicht gestartet ist, dann wird eingehender TCP-Datenverkehr an Port 23 (Telnet) auch dann blockiert, wenn keine explizite Regel vorliegt, die diesen Datenverkehr blockiert. Sie können für jeden erwünschten Datenverkehr eine explizite Zulassungsregel erstellen. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 73 Konfigurieren von Firewall-Richtlinien Aktivieren des Firewall-Schutzes Die Host Intrusion Prevention zeigt alle Regeln an, die im Lernmodus oder im adaptiven Modus auf Clients erstellt wurden, und ermöglicht das Speichern und Migrieren dieser Regeln in Administratorregeln. Statusbehaftete Filterung Wenn der adaptive Modus oder der Lernmodus mit der statusbehafteten Firewall verwendet wird, erstellt der filternde Prozess eine neue Regel zur Behandlung des eingehendes Pakets. Beim Filtern geschieht Folgendes: 1 Die Firewall vergleicht ein eingehendes Paket mit den Einträgen in der Statustabelle und findet keine Übereinstimmung. Anschließend überprüft die Firewall die Liste mit statischen Regeln und findet keine Übereinstimmung. 2 Es wird kein Eintrag in der Statustabelle vorgenommen, aber TCP-Pakete werden in eine ausstehende Liste aufgenommen. Wenn nicht, wird das Paket entfernt. 3 Wenn neue Regeln erlaubt werden, wird eine unidirektionale statische Zulassungsregel erstellt. Wenn es sich um ein TCP-Paket handelt, wird ein Eintrag in der Statustabelle vorgenommen. 4 Wenn eine neue Regel nicht erlaubt wird, wird das Paket entfernt. Firewall-Client-Regeln Firewall-Client-Regeln zur Zulassung blockierter Vorgänge werden mit einem Client im adaptiven Modus oder im Lernmodus erstellt. Regeln lassen sich auf dem Client-Computer auch manuell erstellen. Sie können die Client-Regeln zurückverfolgen und sie in der Standard- oder der aggregierten Ansicht anzeigen. Nutzen Sie diese Client-Regeln zum Erstellen neuer Richtlinien oder fügen Sie sie bestehenden Richtlinien hinzu. Filtern und Aggregieren von Regeln Das Anwenden von Filtern erzeugt eine Liste mit Regeln, die den in den Filterkriterien genannten Variablen entsprechen. Das Ergebnis ist eine Liste mit Regeln, die all diese Kriterien erfüllen. Das Aggregieren von Regeln erzeugt eine Liste mit Regeln, die jeweils nach dem Wert der im Dialogfeld Wählen Sie die zu aggregierenden Spalten aus ausgewählten Variablen gruppiert sind. Das Ergebnis ist eine gruppiert dargestellte Liste mit Regeln, die innerhalb der Gruppe nach dem Wert der jeweiligen Gruppenvariablen sortiert sind. Aktivieren des Firewall-Schutzes Mithilfe der Richtlinie "Firewall-Optionen" können Sie den Firewall-Schutz aktivieren. Zusätzlich ™ werden TrustedSource und Einstellungen für eine statusbehaftete Firewall bereitgestellt. Allgemeine Einstellungen Folgende allgemeine Optionen sind verfügbar: • Aktiviert: Mit dieser Option aktivieren Sie die Firewall-Funktion. Wählen Sie anschließend den Schutztyp: • Normal (Standard): Wenn Sie keine Bereitstellung optimieren, wählen Sie diese Einstellung aus. 74 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von Firewall-Richtlinien Aktivieren des Firewall-Schutzes • Adaptiver Modus: Mit dieser Einstellung werden automatisch Regeln zur Zulassung von Datenverkehr erstellt. Verwenden Sie diese Option nur vorübergehend für die Optimierung einer Ausbringung. • Lernmodus: Mit dieser Einstellung werden Regeln zur Zulassung von Datenverkehr nach Benutzereingabe erstellt. Wählen Sie bei dieser Option auch aus, ob der eingehende oder ausgehende Datenverkehr oder beide betroffen sind. Verwenden Sie diese Option nur vorübergehend für die Optimierung einer Ausbringung. • Datenverkehr für nicht unterstützte Protokolle erlauben: Diese Option dient zur Zulassung von Datenverkehr, der nicht unterstützte Protokolle verwendet. Wenn diese Option deaktiviert ist, wird der Datenverkehr für nicht unterstützte Protokolle vollständig blockiert. • Datenverkehr über Bridge zulassen: Bei Auswahl dieser Option wird Datenverkehr zugelassen, dessen lokale MAC-Adresse nicht der MAC-Adresse des lokalen Systems entspricht, sondern einer der MAC-Adressen in der Liste der VMs, welche die Firewall unterstützt. Mit dieser Option erlauben Sie den Datenverkehr über eine Bridge-Umgebung mit virtuellen Maschinen. • Bestehende Client-Regeln speichern, wenn diese Richtlinie durchgesetzt wird: Wählen Sie diese Option aus, um Clients zu erlauben, auf dem Client erstellte Regeln wie folgt beizubehalten: im adaptiven Modus automatisch, mit Benutzerinteraktion im Lernmodus oder manuell auf einem Client, wenn diese Richtlinie erzwungen wird. Schutzeinstellungen Mit diesen Einstellungen wird ein spezifischer Firewall-Schutz aktiviert: • Bis zum Start des Host IPS-Dienstes nur ausgehenden Datenverkehr zulassen: Hiermit wird solange nur ausgehender Datenverkehr zugelassen, bis der Host IPS-Firewall-Dienst auf dem Client gestartet wurde. • Schutz vor IP-Spoofing aktivieren: Wählen Sie diese Option aus, um Netzwerkverkehr von nicht lokalen Host-IP-Adressen oder lokalen Prozessen, die versuchen, ihre IP-Adresse zu fälschen, zu blockieren. • Ereignisse bei TrustedSource-Verletzungen an ePO senden: Bei Auswahl dieser Option werden Ereignisse an den ePO-Server gesendet, wenn die Schwellenwerteinstellung zum Blockieren von TrustedSource für eingehenden oder ausgehenden Datenverkehr erreicht wird. • Schwellenwert für die TrustedSource-Blockierung von eingehendem Datenverkehr: Wählen Sie in der Liste die TrustedSource-Bewertung aus, bei der eingehender Datenverkehr einer Netzwerkverbindung blockiert wird. Folgende Optionen sind verfügbar: Hohes Risiko, Mittleres Risiko, Ungeprüft und Nicht blockieren. • Schwellenwert für die TrustedSource-Blockierung von ausgehendem Datenverkehr: Wählen Sie in der Liste die TrustedSource-Bewertung aus, bei der ausgehender Datenverkehr einer Netzwerkverbindung blockiert wird. Folgende Optionen sind verfügbar: Hohes Risiko, Mittleres Risiko, Ungeprüft und Nicht blockieren. Einstellungen für statusbehaftete Firewall Für die statusbehaftete Firewall sind folgende Einstellungen verfügbar: • FTP-Protokollprüfung: Eine statusbehaftete Firewall-Einstellung, mit der FTP-Verbindungen nachverfolgt werden können, sodass nur eine Firewall-Regel für ausgehenden FTP-Client-Verkehr und eine für eingehenden FTP-Server-Verkehr erforderlich ist. Wenn diese Option nicht ausgewählt ist, erfordern FTP-Verbindungen eine zusätzliche Regel für McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 75 Konfigurieren von Firewall-Richtlinien Aktivieren des Firewall-Schutzes eingehenden FTP-Client-Verkehr und ausgehenden FTP-Server-Verkehr. Diese Option sollte immer aktiviert sein. • TCP-Verbindungs-Timeout: Die Zeit in Sekunden, während der eine nicht eingerichtete TCP-Verbindung aktiv bleibt, wenn keine weiteren mit der Verbindung übereinstimmenden Pakete gesendet oder empfangen werden. • UDP- und ICMP-Echo-Timeout für virtuelle Verbindungen: Die Zeit in Sekunden, während der eine virtuelle UDP- oder ICMP-Echo-Verbindung aktiv bleibt, wenn keine weiteren mit der Verbindung übereinstimmenden Pakete gesendet oder empfangen werden. Die Zeit wird jedes Mal auf den konfigurierten Wert zurückgesetzt, wenn ein Paket, das mit der virtuellen Verbindung übereinstimmt, gesendet oder empfangen wird. Auswahlmöglichkeiten der Richtlinie Diese Richtlinienkategorie besteht aus einer vorkonfigurierten Richtlinie und der bearbeitbaren Richtlinie "Mein Standard". Sie beruht auf der Standardrichtlinie von McAfee. Vorkonfigurierte Richtlinien können angezeigt und dupliziert werden; benutzerdefinierte Richtlinien können erstellt, bearbeitet, umbenannt, dupliziert, gelöscht und exportiert werden. Die vorkonfigurierte Richtlinie verfügt über drei Einstellungen: McAfee-Standard Der Firewall-Schutz ist deaktiviert, und die folgenden Optionen sind ausgewählt, um bei aktiver Firewall angewendet zu werden: • Datenverkehr über Bridge zulassen • Client-Ausnahmen beibehalten • Schutz vor IP-Spoofing aktivieren • FTP-Protokollprüfung verwenden Konfigurieren der Richtlinie für Firewall-Optionen Mit den Einstellungen in dieser Richtlinie werden der Firewall-Schutz ein- oder ausgeschaltet und der adaptive Modus oder der Lernmodus angewendet. Task Optionsbeschreibungen erhalten Sie auf der Seite mit den Optionen durch Klicken auf das ?. 1 Klicken Sie auf Menü | Richtlinie | Richtlinienkatalog, und wählen Sie Host Intrusion Prevention: Firewall aus der Liste Produkte und Firewall-Optionen aus der Liste Kategorien. Eine Liste mit Richtlinien wird geöffnet. 2 Klicken Sie in der Richtlinienliste Firewall-Optionen unter Aktionen auf Bearbeiten, um die Einstellungen für eine benutzerdefinierte Richtlinie zu ändern. HINWEIS: Bei bearbeitbaren Richtlinien gibt es die Optionen Umbenennen, Duplizieren, Löschen und Exportieren. Für nicht bearbeitbare Richtlinien sind nur die Optionen "Anzeigen" und "Duplizieren" verfügbar. 3 76 Ändern Sie auf der angezeigten Seite Firewall-Optionen die Standardeinstellungen nach Bedarf, und klicken Sie anschließend auf Speichern. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von Firewall-Richtlinien Aktivieren des Firewall-Schutzes Häufig gestellte Fragen – McAfee TrustedSource und die Firewall Zwei Optionen in der Richtlinie "Firewall-Optionen" ermöglichen Ihnen das Blockieren des eingehenden und ausgehenden Datenverkehrs von einer Netzwerkverbindung, die von McAfee TrustedSource™ mit der Sicherheitsstufe "Hohes Risiko" bewertet wurde. In dieser häufig gestellten Frage wird die Funktionsweise von TrustedSource erläutert und inwiefern sich diese auf die Firewall auswirkt. Was ist TrustedSource? TrustedSource ist ein System zur globalen Reputationsanalyse von Internetseiten, mit dem anhand von Echtzeitanalysen der verhaltensbasierten Muster und Versendemuster für E-Mails, von Malware, Internetaktivität und des Verhaltens der Systeme untereinander positives und negatives Verhalten im Internet ermittelt wird. Mithilfe der Daten, die bei dieser Analyse ermittelt werden, berechnet TrustedSource dynamisch die Reputationsbewertung, die die Risikostufe darstellt, mit der das Besuchen einer Website für Ihr Netzwerk eingeordnet wird. Das Ergebnis ist eine Datenbank mit Reputationsbewertungen für IP-Adressen, Domänen, spezifische Meldungen, URLs und Bilder. Wie funktioniert TrustedSource? Wenn die TrustedSource-Optionen ausgewählt sind, werden zwei Firewall-Regeln erstellt: "TrustedSource – Host IPS-Dienst zulassen" und "TrustedSource – Bewertung anzeigen". Die erste Regel erlaubt eine Verbindung zu TrustedSource, und die zweite Regel blockiert Datenverkehr oder lässt ihn zu (auf der Grundlage der Reputation einer Verbindung und des festgelegten Blockierungsschwellenwerts). Was bedeutet "Reputation"? TrustedSource berechnet für jede einzelne IP-Adresse im Internet einen Reputationswert auf der Grundlage des Sende- oder Hosting-Verhaltens und verschiedener Umgebungsdaten, die von TrustedSource automatisch von Kunden und Partnern zum Zustand der Bedrohungslandschaft im Internet erfasst, aggregiert und korreliert werden. Die Reputation wird in vier Klassen angegeben: • Minimales Risiko (Nicht blockieren): Laut unserer Analyse handelt es sich um eine zulässige Quelle oder ein zulässiges Ziel für Inhalte/Datenverkehr. • Ungeprüft: Laut unserer Analyse handelt es sich offenbar um eine zulässige Quelle oder ein zulässiges Ziel für Inhalte/Datenverkehr, allerdings weisen mehrere Eigenschaften darauf hin, dass eine weitere Untersuchung erforderlich ist. • Mittleres Risiko: Laut unserer Analyse weist diese Quelle bzw. dieses Ziel verdächtige Verhaltensweisen auf. Inhalte oder Datenverkehr an oder von diesem Ziel bzw. dieser Quelle sind genau zu prüfen. • Hohes Risiko: Laut unserer Analyse gehen von dieser Quelle oder diesem Ziel möglicherweise schädliche Inhalte bzw. schädlicher Datenverkehr aus, und es handelt sich um ein ernsthaftes Sicherheitsrisiko. Führt TrustedSource zu Wartezeiten (Latenz)? In welchem Umfang? Wenn TrustedSource für die Reputationssuche verwendet wird, ist eine gewisse Latenz unvermeidlich. McAfee hat alle Maßnahmen ergriffen, um diese so gering wie möglich zu halten. Eine Reputationsprüfung erfolgt nur, wenn diese Optionen ausgewählt sind. Zudem wird eine intelligente Caching-Architektur genutzt: Bei normalen Netzwerknutzungsmustern können die McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 77 Konfigurieren von Firewall-Richtlinien Definieren des Firewall-Schutzes meisten der gewünschten Verbindungen anhand des Caches gelöst werden, ohne dass eine reale Reputationsabfrage erfolgen muss. Was passiert, wenn die Firewall keine Verbindung mit TrustedSource-Servern herstellen kann? Wird der Verkehr gestoppt? Wenn von der Firewall keine Verbindung mit TrustedSource-Servern hergestellt werden kann, werden alle anwendbaren Verbindungen automatisch einer zugelassenen Standardreputation zugeordnet und eine Analyse der Regeln wird im Anschluss fortgesetzt. Definieren des Firewall-Schutzes Firewall-Regeln legen fest, wie ein System beim Abfangen von Netzwerkdatenverkehr arbeitet, indem der Datenverkehr entweder zugelassen oder blockiert wird. Das Erstellen und Verwalten von Firewall-Regeln realisieren Sie, indem Sie eine Richtlinie Firewall-Regeln und eine Richtlinie Firewall-DNS-Blockierung mit den entsprechenden Einstellungen anwenden. Auswahlmöglichkeiten der Richtlinie "Firewall-Regeln" Die Richtlinienkategorie "Firewall-Regeln" besteht aus zwei vorkonfigurierten Richtlinien und der bearbeitbaren Richtlinie Mein Standard, die auf der McAfee-Standardrichtlinie basiert. Die vorkonfigurierte Richtlinie kann angezeigt und dupliziert werden; benutzerdefinierte Richtlinien können bearbeitet, umbenannt, dupliziert, gelöscht und exportiert werden. Tabelle 8: Vorkonfigurierte Richtlinien "Firewall-Regeln" Richtlinie Verwendung Minimal (Standard) Diese Richtlinie bietet einen standardmäßigen Mindestschutz und folgende Funktion: Typische Unternehmensumgebung • Blockiert den gesamten eingehenden ICMP-Datenverkehr, der von einem Angreifer verwendet werden kann, um Informationen über Ihren Computer zu sammeln. Host IPS lässt den übrigen ICMP-Datenverkehr zu. • Anforderungen zur Dateifreigabe in Windows von Computern desselben Subnetzes werden zugelassen; Anforderungen zur Dateifreigabe von anderen Quellen werden blockiert (in der Richtlinie "Vertrauenswürdige Netzwerke" muss die Option Lokales Subnetz automatisch einschließen ausgewählt sein). • Erlaubt das Durchsuchen von Windows-Domänen, Arbeitsgruppen und Computern. • Erlaubt den gesamten über hohe Ports eingehenden und ausgehenden UDP-Datenverkehr. • Erlaubt Datenverkehr, der BOOTP-, DNS- und Net Time-UDP-Ports verwendet. Verwenden Sie diese Richtlinie als Ausgangspunkt, und nutzen Sie die Ergebnisse des adaptiven Modus, um zusätzliche Regeln anzuwenden und zu überprüfen. Diese Richtlinie sollte – im Vergleich zu vorhandenen standardmäßigen Firewall-Richtlinien – weniger gelernte Client-Regeln im adaptiven Modus generieren. Die Richtlinie enthält alle Funktionen und erfüllt die Anforderungen der meisten Unternehmen. 78 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von Firewall-Richtlinien Definieren des Firewall-Schutzes Auswahlmöglichkeiten der Richtlinie "Firewall-DNS-Blockierung" Die Richtlinie "Firewall-DNS-Blockierung" enthält eine vorkonfigurierte Richtlinie und die bearbeitbare Richtlinie Mein Standard. Diese basiert auf der Standardrichtlinie von McAfee. Die vorkonfigurierte Richtlinie kann angezeigt und dupliziert werden; benutzerdefinierte Richtlinien können bearbeitet, umbenannt, dupliziert, gelöscht und exportiert werden. Konfigurieren der Richtlinie für Firewall-Regeln Mit den Einstellungen in dieser Richtlinie werden Regeln für den Firewall-Schutz bestimmt. TIPP: Es empfiehlt sich nicht, eine Richtlinie vollständig neu zu erstellen. Duplizieren Sie stattdessen eine vorhandene Richtlinie, und bearbeiten Sie dann die Regeln und Gruppen in der Richtlinie entsprechend Ihren Anforderungen. Task Optionsbeschreibungen erhalten Sie auf der Seite mit den Optionen durch Klicken auf das ?. 1 Klicken Sie auf Menü | Richtlinie | Richtlinienkatalog, und wählen Sie Host Intrusion Prevention: Firewall aus der Liste Produkte und Firewall-Regeln aus der Liste Kategorien. Eine Liste mit Richtlinien wird geöffnet. 2 Klicken Sie in der Richtlinienliste Firewall-Regeln unter Aktionen auf Bearbeiten, um die Einstellungen für eine benutzerdefinierte Richtlinie zu ändern. HINWEIS: Bei bearbeitbaren Richtlinien gibt es die Optionen Umbenennen, Duplizieren, Löschen und Exportieren. Für nicht bearbeitbare Richtlinien sind nur die Optionen "Anzeigen" und "Duplizieren" verfügbar. 3 Führen Sie einen der folgenden Schritte aus: Zweck Vorgehensweise Firewall-Regel hinzufügen Klicken Sie auf Neue Regel oder Regel aus Katalog hinzufügen. Weitere Details finden Sie unter Erstellen und Bearbeiten von Firewall-Regeln oder Verwenden des Host IPS-Katalogs. Firewall-Gruppe hinzufügen Klicken Sie auf Neue Gruppe oder Gruppe aus Katalog hinzufügen. Weitere Details finden Sie unter Erstellen und Bearbeiten von Firewall-Regelgruppen oder Verwenden des Host IPS-Katalogs. Aktion für eine einzelne Regel oder Gruppe ausführen • Wählen Sie die Regel oder Gruppe aus, um im rechten Teilfenster eine Zusammenfassung der Einstellungen für die Elemente anzuzeigen. • Wählen Sie die Regel oder die Gruppe aus, und klicken Sie auf: • Bearbeiten unter Aktionen, um ein Element zu bearbeiten. • Zu Katalog hinzufügen unter Aktionen, um dem Firewall-Katalog dieses Element hinzuzufügen. • Nach oben, um das Element in der Liste nach oben zu verschieben. • Nach unten, um das Element in der Liste nach unten zu verschieben. • Duplizieren, um eine Kopie des Elements zu erstellen. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 79 Konfigurieren von Firewall-Richtlinien Definieren des Firewall-Schutzes Zweck Vorgehensweise • Löschen, um das Element zu löschen. 4 Um alle Regel- und Gruppeninformationen in der Richtlinie in eine XML-Datei zu exportieren, klicken Sie auf Exportieren. Diese Datei kann in den Firewall-Katalog oder in eine andere Richtlinie importiert werden. 5 Klicken Sie auf Speichern, um die Änderungen zu speichern. Erstellen und Bearbeiten von Firewall-Regeln Wenn bestimmte Vorgänge nicht in der Standardliste stehen, ergänzen Sie die Liste in der Richtlinie "Firewall-Regeln" mit einer neuen Firewall-Regel, oder bearbeiten Sie eine der Regeln. Task Optionsbeschreibungen erhalten Sie auf der Seite mit den Optionen durch Klicken auf das ?. 1 Klicken Sie auf der Richtlinienseite Firewall-Regeln auf Neue Regel, um eine neue Regel zu erstellen. Klicken Sie zum Bearbeiten einer bestehenden Regel unter Aktionen auf Bearbeiten. 2 Geben Sie auf der jeweiligen Registerkarte die entsprechenden Informationen ein. Sie können über Weiter oder die Registerkartenverknüpfung auf die gewünschte Registerkarte zugreifen. 3 Registerkarte Optionen Beschreibung Name (erforderlich), Aktion, Richtung, Status. Netzwerk Netzwerkprotokoll, Medientyp, lokale und Remote-Netzwerke Transport Transportprotokoll Anwendung Anwendungen und ausführbare Dateien Plan Status- und Uhrzeiteinstellungen Überprüfen Sie auf der Registerkarte "Zusammenfassung" die Details für die Regel, und klicken Sie dann auf Speichern. Erstellen und Bearbeiten von Firewall-Regelgruppen Wenn Sie für einen bestimmten Zweck einen Satz an Regeln erstellen möchten, erstellen bzw. bearbeiten Sie eine Firewall-Gruppe für eine Richtlinie "Firewall-Regel". Verwenden Sie beispielsweise eine Gruppe aus Regeln mit einem gemeinsamen Zweck, um eine VPN-Verbindung zuzulassen. Gruppen werden in der Regelliste mit einem vorangestellten Pfeil angezeigt, auf den Sie klicken können, um die Regeln in der Gruppe anzuzeigen oder auszublenden. Task 1 80 Klicken Sie auf der Richtlinienseite Firewall-Regeln auf Neue Gruppe, um eine neue Gruppe zu erstellen. Klicken Sie zum Bearbeiten einer bestehenden Gruppe unter Aktionen auf Bearbeiten. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von Firewall-Richtlinien Definieren des Firewall-Schutzes 2 Geben Sie auf der jeweiligen Registerkarte die entsprechenden Informationen ein. Sie können über Weiter oder die Registerkartenverknüpfung auf die gewünschte Registerkarte zugreifen. Registerkarte Optionen Beschreibung Name (erforderlich), Richtung, Status Speicherort Standortabhängige Einstellungen, einschließlich Konnektivitätsisolation Netzwerk Netzwerkprotokoll, Medientyp (kabelgebunden, drahtlos, virtuell), lokale und Remote-Netzwerke Transport Transportprotokoll Anwendung Anwendungen und ausführbare Dateien Plan Status- und Uhrzeiteinstellungen, einschließlich Aktivierung zeitbeschränkter Gruppen 3 Überprüfen Sie auf der Registerkarte "Zusammenfassung" die Details für die Gruppe, und klicken Sie dann auf Speichern. 4 Erstellen Sie in dieser Gruppe neue Regeln, oder verschieben Sie vorhandene Regeln aus der Firewall-Regelliste oder dem Host IPS-Katalog in die Gruppe. Erstellen von Konnektivitätsisolationsgruppen Um einen Satz an Regeln zu erstellen, die nur bei Verbindung mit einem Netzwerk mit bestimmten Parametern gelten sollen, erstellen Sie eine Firewall-Regelgruppe für Konnektivitätsisolation. Task Optionsbeschreibungen erhalten Sie auf der Seite mit den Optionen durch Klicken auf das ?. 1 Klicken Sie auf der Seite der Richtlinie Firewall-Regeln auf Neue Gruppe oder Gruppe aus Katalog hinzufügen. 2 Geben Sie auf der Registerkarte "Beschreibung" im Feld Name einen aussagekräftigen Namen ein. 3 Wählen Sie auf der Registerkarte "Ort" für Speicherortstatus und Konnektivitätsisolation die Option Aktiviert aus, geben Sie einen Namen für den Speicherort ein, und wählen Sie dann ein DNS-Suffix, ein Standard-Gateway oder andere Kriterien für die Übereinstimmung aus. 4 Wählen Sie auf der Registerkarte "Netzwerk" unter Medientypen den Typ der Verbindung (Kabelgebunden, Drahtlos, Virtuell) aus, für den die in dieser Gruppe enthaltenen Regeln angewendet werden sollen. HINWEIS: Transportoptionen und Anwendungen sind für Konnektivitätsisolationsgruppen nicht verfügbar. 5 Klicken Sie auf der Registerkarte "Zusammenfassung" auf Speichern. 6 Erstellen Sie in dieser Gruppe neue Regeln, oder verschieben Sie vorhandene Regeln aus der Firewall-Regelliste oder dem Host IPS-Katalog in die Gruppe. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 81 Konfigurieren von Firewall-Richtlinien Definieren des Firewall-Schutzes Blockieren des DNS-Datenverkehrs Um den Firewall-Schutz zu optimieren, erstellen Sie eine Liste mit Domänennamenservern, die von Host IPS blockiert werden, indem die Auflösung ihrer IP-Adresse verhindert wird. HINWEIS: Sie können diese Funktion nicht verwenden, um vollständige Domänen zu blockieren. Stattdessen müssen Sie die Remote-Adresse des vollständigen Domänennamens (FQDN) in einer Firewall-Regel blockieren. Task Optionsbeschreibungen erhalten Sie auf der Seite mit den Optionen durch Klicken auf das ?. 1 Um eine neue Regel zu erstellen, klicken Sie auf der Seite der Richtlinie Firewall-DNS-Blockierung auf Neue Regel. Wenn Sie eine bestehende Regel bearbeiten möchten, klicken Sie unter Aktionen auf Bearbeiten. 2 Klicken Sie auf Blockierte Domäne hinzufügen. 3 Geben Sie im Textfeld den Namen des Domänennamenservers ein, den Sie blockieren möchten. Verwenden Sie die Platzhalter "*" und "?", z. B. "*domain.com". Nur ein Name pro Eintrag. 4 Klicken Sie auf die Schaltfläche Hinzufügen, um weitere Adressen hinzuzufügen; klicken Sie auf die Schaltfläche Entfernen, um Adressen zu löschen. 5 Klicken Sie auf Speichern, um die Änderungen zu speichern. Verwenden des Host IPS-Katalogs Mit dem Host IPS-Katalog können Sie neue Elemente hinzufügen oder auf bestehende Elemente verweisen, die mit der Firewall verwendet werden. Mit diesem Task können Sie vorhandene Katalogelemente suchen und bearbeiten sowie neue Katalogelemente erstellen, hinzufügen, importieren oder exportieren. Task Optionsbeschreibungen erhalten Sie indem Sie in der Benutzeroberfläche auf das ? klicken. 82 1 Klicken Sie auf Menü | Richtlinie | Host IPS-Katalog. 2 Wählen Sie unter Elementtyp ein Katalogelement aus. Folgende Typen können ausgewählt werden: Gruppe, Regel, Anwendung, Prozess, Netzwerk und Speicherort. 3 Führen Sie einen der folgenden Schritte auf der Katalogseite aus: Zweck Vorgehensweise Element filtern Geben Sie die Filterkriterien ein, und klicken Sie auf Filter festlegen. Klicken Sie auf Löschen, um zur Standardansicht zurückzukehren. Elementansicht ändern Wählen Sie Optionen | Spalten auswählen, und wählen Sie die Spalten aus, entfernen Sie sie, oder ordnen Sie sie neu an, und klicken Sie dann auf Speichern. Element bearbeiten Klicken Sie auf die Verknüpfung, die dem Element zugeordnet ist. Klicken Sie auf Bearbeiten, um das Element zu bearbeiten; klicken Sie auf Duplizieren, McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von Firewall-Richtlinien Definieren des Firewall-Schutzes Zweck Vorgehensweise um eine Kopie zu erstellen; klicken Sie auf Löschen, um es zu löschen. HINWEIS: Wenn Sie ein Element löschen, das eine abhängige Verknüpfung aufweist, wird eine neue unabhängige Kopie des gelöschten Elements in der Verknüpfungsregel oder -gruppe platziert. Element erstellen und hinzufügen Klicken Sie auf Neu. Geben Sie auf der/den angezeigten Seite(n) die entsprechenden Daten ein, und klicken Sie dann auf Speichern. Einzelnes Element exportieren Klicken Sie auf die Verknüpfung Exportieren, die dem Element zugeordnet ist. Alle Elemente des Katalogtyps exportieren Klicken Sie in der oberen rechten Ecke der Seite auf Exportieren, benennen Sie die XML-Datei, und speichern Sie sie. Elemente des Katalogtyps importieren Klicken Sie in der oberen rechten Ecke der Seite auf Importieren, suchen Sie die XML-Datei mit den Katalogdaten, und öffnen Sie sie. HINWEIS: Wenn Sie beim Erstellen einer Firewall-Regel oder -Gruppe ein Element aus dem Katalog hinzufügen möchten, klicken Sie unten auf der entsprechenden Generator-Seite auf Aus Katalog hinzufügen. Wenn Sie ein Element hinzufügen möchten, das Sie beim Arbeiten mit dem Firewall-Regel- oder -Gruppen-Generator erstellt haben, klicken Sie neben dem Element auf die Verknüpfung Zu Katalog hinzufügen. Wenn Sie ein Element aus dem Katalog hinzufügen bzw. dem Katalog ein Element hinzufügen, wird eine abhängige Verknüpfung zwischen dem Element und dem Katalog mit der Verknüpfung Katalogreferenz unterbrechen erstellt. Wenn Sie auf diese Verknüpfung klicken, wird die Abhängigkeit zwischen Element und Katalog aufgehoben und stattdessen ein neues unabhängiges Element in der Verknüpfungsregel oder -gruppe erstellt. Verwalten von Firewall-Client-Regeln Die Sicherheit kann optimiert werden, indem Sie die auf einem Client manuell oder automatisch im adaptiven Modus oder im Lernmodus erstellten Firewall-Client-Regeln anzeigen und in eine Richtlinie "Firewall-Regeln" verschieben. HINWEIS: Zugriff auf Firewall-Client-Regeln auf der Registerkarte "Host IPS" unter "Berichte" erfordert andere Berechtigungen als diejenigen für Host Intrusion Prevention, beispielsweise Leseberechtigungen für das Ereignisprotokoll, für Systeme und die Systemstruktur. Task Optionsbeschreibungen erhalten Sie auf der Seite mit den Optionen durch Klicken auf das ?. 1 Klicken Sie auf Menü | Berichte | Host IPS und dann auf Firewall-Client-Regeln. 2 Wählen Sie in der Systemstruktur die Gruppe aus, für die Client-Regeln angezeigt werden sollen. 3 Legen Sie fest, in welcher Form die Liste der Client-Regeln angezeigt werden soll: Zweck Vorgehensweise Auswählen der anzuzeigenden Spalten Wählen Sie Spalten auswählen aus dem Menü "Optionen". Auf der Seite "Spalten auswählen" können McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 83 Konfigurieren von Firewall-Richtlinien Definieren des Firewall-Schutzes Zweck Vorgehensweise Sie anzuzeigende Spalten hinzufügen, entfernen und neu anordnen. 4 Sortieren nach einer Spalte Klicken Sie auf die Spaltenüberschrift. Filtern nach Gruppen Wählen Sie im Menü Filter die Option Nur diese Gruppe oder Diese Gruppe und alle Untergruppen aus. Filtern nach Erstellzeitpunkt Wählen Sie den Zeitpunkt aus, an dem die Regel erstellt wurde: Keiner, Seit oder Zwischen. Wenn Sie "Seit" auswählen, geben Sie ein Startdatum ein. Wenn Sie Zwischen auswählen, geben Sie ein Start- und ein Enddatum ein. Klicken Sie auf Löschen, um Filtereinstellungen zu entfernen. Filtern nach einem Suchtext Geben Sie den Prozesspfad, den Prozessnamen, den Computernamen oder die Signatur-ID ein, nach dem bzw. nach der gefiltert werden soll. Klicken Sie auf Löschen, um Filtereinstellungen zu entfernen. Regeln aggregieren Klicken Sie auf Aggregieren, und wählen Sie die Kriterien, nach denen Regeln aggregiert werden sollen. Klicken Sie anschließend auf OK. Klicken Sie auf Löschen, um Aggregationseinstellungen zu entfernen. Wenn Sie Regeln in eine Richtlinie verschieben möchten, wählen Sie eine oder mehrere Regeln in der Liste aus, und klicken Sie auf Firewall-Regel erstellen. Geben Sie dann an, in welche Richtlinie Sie die Regeln verschieben möchten. Häufig gestellte Fragen – Verwendung von Platzhaltern in Firewall-Regeln Host IPS ermöglicht bei der Eingabe von Werten in bestimmten Feldern in Firewall-Regeln die Verwendung von Platzhaltern. Welche Platzhalter sind in Pfad- und Adresswerten zulässig? Folgende Platzhalter dürfen in Dateipfaden Registrierungsschlüsseln ausführbaren Dateien und URLs verwendet werden: Zeichen Definition ? (Fragezeichen) Ein einzelnes Zeichen * (Sternchen) Mehrere Zeichen mit Ausnahme von "/" und "\". Wird als Entsprechung der Stammebene eines Ordners ohne Unterordner verwendet. ** (Zwei Sternchen) Mehrere Zeichen, einschließlich "/" und "\". | (Pipe-Zeichen) Platzhalter-Escape-Zeichen HINWEIS: Die Escape-Zeichenfolge für "**" lautet "|*|*". HINWEIS: In Registrierungsschlüsselpfaden für Firewall-Gruppenspeicherorte werden keine Platzhalterwerte erkannt. 84 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von Firewall-Richtlinien Definieren des Firewall-Schutzes Welche Platzhalter sind in sonstigen Werten zulässig? Für Werte, die normalerweise keine Pfadangaben mit Schrägstrichen enthalten, können folgende Platzhalter verwendet werden: Zeichen Definition ? (Fragezeichen) Ein einzelnes Zeichen * (Sternchen) Mehrere Zeichen, einschließlich "/" und "\". | (Pipe-Zeichen) Platzhalter-Escape-Zeichen McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 85 Konfigurieren von allgemeinen Richtlinien Die Funktion "Allgemein" von Host Intrusion Prevention ermöglicht den Zugriff auf Richtlinien, die allgemeiner Natur sind und nicht spezifisch für IPS oder die Firewall gelten. Inhalt Übersicht über allgemeine Richtlinien Definieren der Client-Funktionen Definieren vertrauenswürdiger Netzwerke Definieren vertrauenswürdiger Anwendungen Übersicht über allgemeine Richtlinien Allgemeine Richtlinien können sowohl für IPS- und Firewall-Funktionen als auch zur Steuerung des Client-Zugriffs und vertrauenswürdiger Netzwerke und Anwendungen genutzt werden. Alle Richtlinien und Optionen gelten für Windows-Betriebssysteme. Als Nicht-Windows-Systeme gelten nur ausgewählte Richtlinien und Optionen. Weitere Details hierzu finden Sie unter Richtlinienerzwingung mit dem Solaris/Linux-Client unter Arbeiten mit Host IPS-Clients. Verfügbare Richtlinien Es gibt drei allgemeine Richtlinien: Die Richtlinie Client-Benutzeroberfläche bestimmt, welche Optionen auf einem Windows-Client-Computer verfügbar sind. Sie legt auch fest, ob das Host IPS-Client-Symbol in der Taskleiste angezeigt wird, welche Typen von Warnungen über Eindringversuche angezeigt werden, mit welchen Kennwörtern der Zugriff auf die Client-Oberfläche möglich ist und Fehlerbehebungsoptionen. Die Kennwortfunktion ist für Clients auf Windows- und Nicht-Windows-Plattformen verfügbar. Die Richtlinie Vertrauenswürdige Netzwerke listet die IP-Adressen und Netzwerke auf, einschließlich der TrustedSource-Ausnahmen, über die eine sichere Kommunikation erfolgen kann. Vertrauenswürdige Netzwerke können einzelne IP-Adressen oder ganze IP-Adressbereiche umfassen. Werden Netzwerke als "vertrauenswürdig" gekennzeichnet, sind weniger oder keine IPS-Ausnahmen und zusätzliche Firewall-Regeln erforderlich. Nur für Windows-Clients. Die Richtlinie Vertrauenswürdige Anwendungen listet Anwendungen auf, die sicher sind und keine bekannten Schwachstellen haben. Durch das Markieren von Anwendungen als "vertrauenswürdig" sind weniger oder keine IPS-Ausnahmen und zusätzliche Firewall-Regeln mehr erforderlich. Diese Richtlinienkategorie kann ebenso wie die Richtlinie IPS-Regeln mehrere Richtlinieninstanzen enthalten. Für Clients auf Windows- und Nicht-Windows-Plattformen. Mit Hilfe der Einstellungen für die Richtlinien Vertrauenswürdige Netzwerke und Vertrauenswürdige Anwendungen können die Anzahl von Falsch-Positiv-Meldungen reduziert und damit das Tunen einer Ausbringung unterstützt werden. 86 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von allgemeinen Richtlinien Definieren der Client-Funktionen Definieren der Client-Funktionen Mit der Richtlinie "Client-Benutzeroberfläche" wird festgelegt, wie Host IPS-Clients angezeigt werden und funktionieren. Dazu gehören für Windows-Clients die Einstellungen für die Symbolanzeige, die Reaktionen auf Intrusionsereignisse und der Administrator- und Client-Benutzer-Zugriff. Für Nicht-Windows-Clients ist nur die Kennwortfunktion für den Administratorzugriff gültig. Mit den Optionen dieser Richtlinie können die Anforderungen von drei typischen Benutzerrollen erfüllt werden: Benutzertyp Funktionen Normal Dies ist der durchschnittliche Benutzer, auf dessen PC oder Laptop der Host Intrusion Prevention-Client installiert ist. Die Richtlinie "Client-Benutzeroberfläche" ermöglicht diesem Benutzer, folgende Aktionen durchzuführen: • Host Intrusion Prevention-Client-Symbol in der Taskleiste anzeigen und Client-Konsole starten. • Popup-Intrusionswarnungen anzeigen oder blockieren. • IPS- und Firewall-Schutz vorübergehend deaktivieren. Getrennt Dies ist ein Benutzer, der eventuell mit einem Laptop arbeitet und dessen Verbindung mit dem Host Intrusion Prevention-Server für eine bestimmte Zeit getrennt ist. Dieser Benutzer hat eventuell technische Probleme mit der Host Intrusion Prevention, oder er muss Vorgänge ohne Interaktion mit der Host Intrusion Prevention durchführen. Mithilfe der Richtlinie "Client-Benutzeroberfläche" kann dieser Benutzer ein zeitbasiertes Kennwort erhalten, mit dem er Verwaltungs-Tasks durchführen oder Schutzfunktionen ein- oder ausschalten kann. Administrator Dies ist ein IT-Administrator für alle Computer, der auf einem Client-Computer besondere Vorgänge durchführen muss, bei denen alle administratorberechtigten Richtlinien außer Kraft gesetzt werden. Mithilfe der Richtlinie "Client-Benutzeroberfläche" kann dieser Benutzer ein unbefristetes Administratorkennwort erhalten, mit dem er Verwaltungs-Tasks durchführen kann. Zu den Verwaltungs-Tasks für getrennte Benutzer und Administratorbenutzer gehören: • IPS- und Firewall-Richtlinien aktivieren oder deaktivieren. • Zusätzliche IPS- und Firewall-Regeln für Fälle erstellen, in denen bestimmte legitimierte Aktivitäten blockiert werden. HINWEIS: Über die ePolicy Orchestrator-Konsole vorgenommene Änderungen der Verwaltungsrichtlinie werden erst durchgesetzt, wenn das Kennwort abgelaufen ist. Während dieser Zeit erstellte Client-Regeln werden gespeichert, sofern dies durch Verwaltungsregeln zugelassen wird. Die Richtlinie "Client-Benutzeroberfläche" besteht aus einer vorkonfigurierten Richtlinie und der bearbeitbaren Richtlinie "Mein Standard". Die vorkonfigurierte Richtlinie kann angezeigt und dupliziert werden; bearbeitbare, benutzerdefinierte Richtlinien können erstellt, bearbeitet, umbenannt, dupliziert, gelöscht und exportiert werden. Konfigurieren der Richtlinie "Client-Benutzeroberfläche" Mit den Einstellungen in der Richtlinie wird bestimmt, ob Symbole angezeigt werden und wie auf Eindringversuche reagiert wird. Zudem werden bei Windows-Clients damit der Administratorund Client-Benutzerzugriff und bei Nicht-Windows-Clients der Administratorzugriff konfiguriert. Task Optionsbeschreibungen erhalten Sie auf der Seite mit den Optionen durch Klicken auf das ?. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 87 Konfigurieren von allgemeinen Richtlinien Definieren der Client-Funktionen 1 Klicken Sie auf Menü | Richtlinie | Richtlinienkatalog, und wählen Sie Host Intrusion Prevention: Allgemein aus der Liste Produkt und Client-Benutzeroberfläche aus der Liste Kategorie aus. Eine Liste mit Richtlinien wird geöffnet. 2 Klicken Sie in der Richtlinienliste Client-Benutzeroberfläche unter Aktionen auf Bearbeiten, um die Einstellungen für eine benutzerdefinierte Richtlinie zu ändern. 3 Wählen Sie auf der Seite Client-Benutzeroberfläche eine Registerkarte (Allgemeine Optionen, Erweiterte Optionen, Fehlerbehebungsoptionen) aus, und nehmen Sie die erforderlichen Änderungen vor. Detaillierte Informationen finden Sie unter Festlegen der allgemeinen Optionen für die Client-Benutzeroberfläche, Festlegen der erweiterten Optionen für die Client-Benutzeroberfläche oder Festlegen der Fehlerbehebungsoptionen für die Client-Benutzeroberfläche. 4 Klicken Sie auf Speichern, um die Änderungen zu speichern. Festlegen der allgemeinen Optionen für die Client-Benutzeroberfläche Mit den Einstellungen auf der Registerkarte Allgemeine Einstellungen der Richtlinie Client-Benutzeroberfläche wird bestimmt, ob Symbole angezeigt werden und wie auf Eindringversuche reagiert wird. Sie gelten nur für Windows-Clients. Auf dieser Registerkarte können Sie die Anzeigeoptionen für die Client-Benutzeroberfläche festlegen und angeben, wie der Client auf Intrusionsereignisse reagiert. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberfläche auf das ? klicken. 1 Klicken Sie auf der Registerkarte Allgemeine Einstellungen der Richtlinie "Client-Benutzeroberfläche" auf Anzeigeoptionen, und wählen Sie die Option zum Anzeigen des Taskleistensymbols für den Menüzugriff auf die Client-Konsole oder zum Anzeigen der Anwendung in der Liste "Software" bzw. "Programme hinzufügen/entfernen". HINWEIS: Wenn Benutzer gelegentlich eine Host Intrusion Prevention-Funktion deaktivieren müssen, um auf eine legitime, aber blockierte Anwendung oder Netzwerk-Website zuzugreifen, können sie mit dem Host Intrusion Prevention-Taskleistensymbol eine Funktion deaktivieren, ohne die Client-Benutzeroberfläche zu öffnen. Die deaktivierte Funktion bleibt weiterhin deaktiviert, bis sie durch den Menübefehl oder eine neue Richtlinienerzwingung wiederhergestellt wird. Beachten Sie Folgendes: • Durch Deaktivierung von IPS werden sowohl der Host IPS- als auch der Netzwerk-IPS-Schutz deaktiviert. • Wenn die Client-Benutzeroberfläche offen ist, haben die Menübefehle keine Wirkung. Wählen Sie für diese Funktion zum Anzeigen des Symbols auf der Registerkarte Erweiterte Optionen die Option Deaktivieren von Funktionen über das Taskleistenmenü zulassen aus, und wählen Sie anschließend eine oder alle Funktionen aus, um sie zu deaktivieren. 2 88 Wählen Sie unter Bei Intrusionsereignis die Optionen aus, mit denen die Reaktion der Clients auf einen Eindringungsversuch gesteuert wird. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von allgemeinen Richtlinien Definieren der Client-Funktionen Festlegen der erweiterten Optionen und Kennwörter für die Client-Benutzeroberfläche Mit den Einstellungen auf der Registerkarte Erweiterte Optionen der Richtlinie Client-Benutzeroberfläche wird der Kennwortzugriff auf Windows- und Nicht-Windows-Clients konfiguriert. Mit den Kennwörtern wird die Windows-Client-Konsole entsperrt und der Zugriff auf die Fehlerbehebungssteuerung auf Windows- und Nicht-Windows-Clients ermöglicht. Das Kennwort wird aktiviert, sobald die Richtlinie auf den Client angewendet wird. Es sind zwei Kennworttypen verfügbar: • Ein Administratorkennwort, das von einem Administrator konfiguriert werden kann und gültig ist, solange die Richtlinie auf den Client angewendet wird. Die Client-Konsole bleibt solange entsperrt, bis sie geschlossen wird. Um die Client-Konsole wieder zu öffnen, geben Sie das Administratorkennwort erneut ein. • Ein zeitbasiertes Kennwort mit Ablaufdatum und -zeit. Dieses Kennwort wird automatisch generiert. Sie können ein einzelnes System angeben, auf dem das Kennwort erstellt werden soll, oder das Kennwort in der Richtlinie "Client-Benutzeroberfläche" für alle Systeme erstellen, auf die die Richtlinie angewendet werden soll. Die Client-Konsole bleibt solange entsperrt, bis sie geschlossen wird. HINWEIS: Richtlinien werden nicht auf dem Client durchgesetzt, solange die Client-Konsole entsperrt ist. Ausführliche Informationen finden Sie unter Entsperren der Windows-Client-Benutzeroberfläche. Task 1 Klicken Sie in der Richtlinie "Client-Benutzeroberfläche", die auf ein System oder eine Gruppe angewendet wird, auf die Registerkarte Erweiterte Optionen. 2 Legen Sie fest, welchen Kennworttyp Sie erstellen möchten. Für diesen Kennworttyp... Vorgehensweise Administrator • Geben Sie ein Kennwort in das Textfeld Kennwort ein. Es muss mindestens zehn Zeichen lang sein. • Geben Sie das Kennwort erneut in das Textfeld Kennwort bestätigen ein. • Klicken Sie auf Speichern. • Wählen Sie Zeitbasiertes Kennwort aktivieren aus. • Geben Sie das Datum und die Uhrzeit des Zeitpunkts ein, an dem das Kennwort abläuft, und klicken Sie anschließend auf Zeitbasiertes Kennwort errechnen. Das Kennwort wird zusammen mit Ablaufdatum und -zeit in einem Dialogfeld angezeigt. • Klicken Sie auf Speichern. Zeitbasiert Erstellen von Kennwörtern pro System Sie können zeitbasierte Kennwörter pro System erstellen und zuweisen. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 89 Konfigurieren von allgemeinen Richtlinien Definieren der Client-Funktionen Task 1 Überprüfen Sie auf der Registerkarte "Erweitert" in der Richtlinie "Client-Benutzeroberfläche", dass die Option für zeitbasierte Kennwörter aktiviert ist. 2 Klicken Sie auf Speichern, wenn Sie irgendwelche Änderungen an der Richtlinie vorgenommen haben. 3 Gehen Sie zu Systeme | Systemstruktur. 4 Wenden Sie die Richtlinie "Client-Benutzeroberfläche auf die Gruppe an, die das System enthält, für das das Kennwort gelten soll. 5 Wählen Sie die Gruppe aus, und wählen Sie dann auf der Registerkarte Systeme ein einzelnes System aus. 6 Wählen Sie Aktionen | Zeitbasiertes Kennwort erstellen aus. 7 Richten Sie das Datum und die Uhrzeit des Zeitpunkts ein, an dem das Kennwort abläuft und klicken Sie anschließend auf Zeitbasiertes Kennwort errechnen. Das Kennwort wird im Dialogfeld angezeigt. Festlegen der Fehlerbehebungsoptionen für die Client-Benutzeroberfläche Mit den Einstellungen auf der RegisterkarteFehlerbehebung der Richtlinie "Client-Benutzeroberfläche" können Sie Protokollierungsoptionen bestimmen und Module einbzw. ausschalten. Statt die Fehlerbehebungsfunktion für einen einzelnen Client zu verwenden, können Sie Fehlerbehebungsoptionen auf Richtlinienebene anwenden, die die Protokollierung von IPS- und Firewall-Ereignissen auslösen und bestimmte IPS-Module deaktivieren. Deaktivierte Module müssen nach Durchführung der Fehlerbehebung wieder aktiviert werden. Task 1 Klicken Sie in der Richtlinie "Client-Benutzeroberfläche" auf die Registerkarte Fehlerbehebung. 2 Wählen Sie die Richtlinieneinstellungen, die Sie anwenden möchten: Zweck Vorgehensweise Firewall-Protokollierung aktivieren Wählen Sie den Nachrichtentyp aus der Liste aus, um die Protokollierung von Firewall-Ereignissen auszulösen. • Mit Debug werden alle Meldungen protokolliert. • Mit Informationen werden Informationen, Warnungen und Fehlermeldungen protokolliert. • Mit Warnung werden Warnungen und Fehlermeldungen protokolliert. • Mit Fehler werden Fehlermeldungen protokolliert. • Mit Deaktiviert werden keine Meldungen protokolliert. Bei Windows-Clients lautet der Pfad für die Protokolldatei: C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\McAfee\Host Intrusion Prevention\FireSvc.log. Unter Windows Vista, Windows 2008 und Windows 7 lautet der Pfad: C:\Programmdaten\McAfee\Host Intrusion Prevention\FireSvc.log. 90 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von allgemeinen Richtlinien Definieren vertrauenswürdiger Netzwerke Zweck Vorgehensweise IPS-Protokollierung aktivieren Wählen Sie den Nachrichtentyp aus der Liste aus, um die Protokollierung von IPS-Ereignissen auszulösen. • Mit Debug werden alle Meldungen protokolliert. • Mit Informationen werden Informationen, Warnungen und Fehlermeldungen protokolliert. • Mit Warnung werden Warnungen und Fehlermeldungen protokolliert. • Mit Fehler werden Fehlermeldungen protokolliert. • Mit Deaktiviert werden keine Meldungen protokolliert. Bei Windows-Clients lautet der Pfad für die Protokolldatei: C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\McAfee\Host Intrusion Prevention\HipShield.log. Unter Windows Vista, Windows 2008 und Windows 7 lautet der Pfad: C:\Programmdaten\McAfee\Host Intrusion Prevention\HipShield.log Sicherheitsverstöße in das IPS-Protokoll aufnehmen Wählen Sie Sicherheitsverstöße protokollieren, damit Ereignisse mit Sicherheitsverstößen im IPS-Protokoll angezeigt werden. Größe des Ereignisprotokolls (in MB) auf dem Client festlegen Ändern Sie die Größe des Ereignisprotokolls vom Standardwert "1 MB" auf einen höheren Wert. Module aktivieren und deaktivieren Deaktivieren Sie das Kontrollkästchen, um ein Modul zu deaktivieren, und wählen Sie das Kontrollkästchen erneut aus, um das Modul erneut zu aktivieren. HINWEIS: Details über das direkte Arbeiten mit dem HIP-Client finden Sie unter Arbeiten mit Host Intrusion Prevention-Clients. Definieren vertrauenswürdiger Netzwerke Mithilfe der Richtlinie "Vertrauenswürdige Netzwerke" können Sie eine Liste mit Netzwerkadressen und Subnetzen verwalten, die Sie für Clients unter Windows als vertrauenswürdig einstufen und auf Firewall-Regeln anwenden können, deren Remote-Adresse als vertrauenswürdig und auf Netzwerk-IPS-Ausnahmen festgelegt ist. Diese Richtlinienkategorie besteht aus einer vorkonfigurierten Richtlinie, in der lokale Subnetze automatisch enthalten sind, Netzwerkadressen jedoch nicht auflistet werden, und der bearbeitbaren Richtlinie "Mein Standard". Die vorkonfigurierte Richtlinie kann angezeigt und dupliziert werden; bearbeitbare, benutzerdefinierte Richtlinien können erstellt, bearbeitet, umbenannt, dupliziert, gelöscht und exportiert werden. Konfigurieren der Richtlinie "Vertrauenswürdige Netzwerke" Mit den Einstellungen in dieser Richtlinie werden die Optionen für vertrauenswürdige Netzwerke festgelegt und eine Liste der Netzwerkadressen und Subnetze verwaltet, die für Windows-Clients als "vertrauenswürdig" gekennzeichnet sind. Sie haben folgende Möglichkeiten: McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 91 Konfigurieren von allgemeinen Richtlinien Definieren vertrauenswürdiger Anwendungen • Optionen für vertrauenswürdige Netzwerke einrichten, einschließlich TrustedSource-Ausnahmen. • Adressen oder Subnetze zur Vertrauensliste hinzufügen oder daraus löschen. HINWEIS: Für Firewall-Regeln müssen Sie die Remote-Adresse auf Vertrauenswürdig festlegen, um die Vorteile dieser Funktion nutzen zu können. Task Optionsbeschreibungen erhalten Sie auf der Seite mit den Optionen durch Klicken auf das ?. 1 Klicken Sie auf Menü | Richtlinie | Richtlinienkatalog, und wählen Sie Host Intrusion Prevention: Allgemein aus der Liste Produkt und Vertrauenswürdige Netzwerke aus der Liste Kategorie aus. Eine Liste mit Richtlinien wird geöffnet. 2 Klicken Sie in der Richtlinienliste Vertrauenswürdige Netzwerke unter Aktionen auf Bearbeiten, um die Einstellungen für eine benutzerdefinierte Richtlinie zu ändern. 3 Führen Sie einen der folgenden Schritte aus: Zweck Vorgehensweise Alle Benutzer desselben Subnetzes automatisch als Wählen Sie unter Lokales Subnetz automatisch vertrauenswürdig behandeln, auch wenn diese nicht in einschließen die Option Aktiviert aus. der Liste genannt werden. Der Liste eine vertrauenswürdige Netzwerkadresse hinzufügen. Geben Sie im Testfeld Vertrauenswürdige Netzwerke eine vertrauenswürdige IP-Adresse, einen Adressbereich oder ein Subnetz ein. Das Netzwerk für Netzwerk-IPS-Signaturen oder Wählen Sie Vertrauensstellung für IPS aus. HTTP-Host- und benutzerdefinierte IPS-Signaturen als vertrauenswürdig markieren. Einen vertrauenswürdigen Netzwerkadresseintrag entfernen oder hinzufügen. 4 Klicken Sie auf die Schaltfläche Entfernen ( – ) oder Hinzufügen ( + ). Klicken Sie auf Speichern, um die Änderungen zu speichern. Definieren vertrauenswürdiger Anwendungen Die Richtlinie "Vertrauenswürdige Anwendungen" stellt einen Mechanismus zum Erstellen einer Liste von Anwendungen dar, die als vertrauenswürdig gelten und für die kein Ereignis erzeugt werden sollte. Die Pflege einer solchen Liste sicherer Anwendungen für ein System reduziert falsch-positive Ergebnisse bzw. kann diese vollständig verhindern. Die Richtlinie "Vertrauenswürdige Anwendungen" ist eine Richtlinie mit mehreren Instanzen, sodass Sie mehrere Richtlinieninstanzen zuweisen können; dies ermöglicht ein detaillierteres Profil der Nutzung vertrauenswürdiger Anwendungen. Beim Optimieren (Tunen) einer Ausbringung ist das Erstellen von IPS-Ausnahmeregeln eine Möglichkeit, um die Anzahl von Falsch-Positiv-Meldungen zu reduzieren. Dies ist nicht immer praktisch, wenn es um mehrere tausend Clients geht oder nur ein begrenzter Zeitraum und begrenzte Ressourcen zur Verfügung stehen. Die bessere Lösung besteht darin, eine Liste von vertrauenswürdigen Anwendungen zu erstellen, die innerhalb einer bestimmten Umgebung als sichere Anwendungen gelten. Wenn Sie beispielsweise eine Datensicherungsanwendung 92 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von allgemeinen Richtlinien Definieren vertrauenswürdiger Anwendungen ausführen, löst dies eine Vielzahl von Falsch-Positiv-Meldungen aus. Um dies zu vermeiden, geben Sie die Datensicherungsanwendung als vertrauenswürdige Anwendung an. HINWEIS: Auch eine vertrauenswürdige Anwendung kann von verbreiteten Schwachstellen, wie einem Buffer Overflow oder einer unbefugten Verwendung, betroffen sein. Aus diesem Grund wird auch eine vertrauenswürdige Anwendung überwacht und kann bestimmte Ereignisse auslösen, um Schwachstellen zu schützen. Diese Richtlinienkategorie beinhaltet eine vorkonfigurierte Richtlinie, die eine Liste mit spezifischen McAfee-Anwendungen und Windows-Prozessen bietet. Die vorkonfigurierte Richtlinie kann angezeigt und dupliziert werden; benutzerdefinierte Richtlinien können bearbeitet, umbenannt, dupliziert, gelöscht und exportiert werden. Konfigurieren der Richtlinie "Vertrauenswürdige Anwendungen" Mit den Einstellungen in der Richtlinie werden die Anwendungen angegeben, die in einer bestimmten Umgebung als sicher gelten. Task Optionsbeschreibungen erhalten Sie auf der Seite mit den Optionen durch Klicken auf das ?. 1 Klicken Sie auf Menü | Richtlinie | Richtlinienkatalog, und wählen Sie Host Intrusion Prevention: Allgemein aus der Liste Produkt und Vertrauenswürdige Anwendungen aus der Liste Kategorie aus. Eine Liste mit Richtlinien wird geöffnet. 2 Klicken Sie in der Richtlinienliste Vertrauenswürdige Anwendungen unter Aktionen auf Bearbeiten, um die Einstellungen für eine benutzerdefinierte Richtlinie zu ändern. 3 Führen Sie einen der folgenden Schritte aus: Zweck Vorgehensweise Hinzufügen einer Anwendung Klicken Sie auf Anwendung hinzufügen. Siehe "Erstellen und Bearbeiten von Regeln für vertrauenswürdige Anwendungen" für weitere Details. Gleichzeitiges Durchführen einer Aktion für eine oder mehrere Anwendungen Wählen Sie folgende Befehle aus und klicken Sie darauf: • Aktivieren, um eine deaktivierte Anwendung zu aktivieren. • Deaktivieren, um eine aktivierte Anwendung zu deaktivieren. • Löschen, um Anwendungen zu löschen. • Kopieren nach, um Anwendungen in eine andere Richtlinie zu kopieren. Sie werden aufgefordert, die Richtlinie anzugeben. Durchführen einer Aktion für eine einzelne Anwendung Schaltfläche: • Bearbeiten, um eine vorhandene Anwendung zu bearbeiten. Siehe "Erstellen und Bearbeiten von Regeln für vertrauenswürdige Anwendungen" für weitere Details. • Duplizieren, um eine Kopie der Anwendung innerhalb der gleichen Richtlinie unter dem Namen "Kopie von" der Originalanwendung zu erstellen. • Löschen, um die Anwendung aus der Liste zu entfernen. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 93 Konfigurieren von allgemeinen Richtlinien Definieren vertrauenswürdiger Anwendungen 4 Klicken Sie auf Speichern, um die Änderungen zu speichern. Erstellen und Bearbeiten von Regeln für vertrauenswürdige Anwendungen Indem Sie vorhandene vertrauenswürdige Anwendungen bearbeiten oder neue erstellen, können Sie eine Liste der für Ihre Umgebung als sicher geltenden Anwendungen anlegen. Task Optionsbeschreibungen erhalten Sie auf der Seite mit den Optionen durch Klicken auf das ?. 1 Um eine neue Regel zu erstellen, klicken Sie auf der Seite der Richtlinie Vertrauenswürdige Anwendungen auf Neue vertrauenswürdige Anwendung. Wenn Sie eine vorhandene Regel bearbeiten möchten, klicken Sie unter Aktionen auf Bearbeiten. HINWEIS: Sie können auch vertrauenswürdige Anwendungen erstellen, die auf einem Ereignis basieren. Detaillierte Informationen finden Sie unter Erstellen vertrauenswürdiger Anwendungen aus Ereignissen unter Konfigurieren von IPS-Richtlinien. 2 Schreiben oder bearbeiten Sie den Namen der Anwendung, und geben Sie den Status der Anwendung an, einschließlich der Angabe, ob sie für IPS, Firewall oder beide Optionen als vertrauenswürdig eingestuft ist. 3 Klicken Sie auf Neu, um eine ausführbare Datei für die Anwendung hinzuzufügen. HINWEIS: Sie können eine vorhandene ausführbare Datei aus dem Host IPS-Katalog hinzuzufügen, indem Sie auf Aus Katalog hinzufügen klicken. Informationen über den Katalog erhalten Sie in Funktionsweise des Host IPS-Katalogs unter Konfigurieren von Firewall-Richtlinien. 4 Klicken Sie auf OK, um die Änderungen zu speichern. Zuweisen mehrerer Instanzen der Richtlinie Mehrfachschutz mittels einer einzelnen Richtlinie ist möglich, indem einer Gruppe oder einem System in der Struktur von ePolicy Orchestrator eine oder mehrere Instanzen der Richtlinie zugewiesen werden. Die Richtlinie für IPS-Regeln und die Richtlinie für vertrauenswürdige Anwendungen haben beide mehrere Instanzen, von denen auch mehrere zugewiesen werden können. Eine Richtlinie mit mehreren Instanzen eignet sich beispielsweise für einen IIS-Server, wenn Sie eine allgemeine Standardrichtlinie, eine Server-Richtlinie und eine IIS-Richtlinie anwenden, wobei die beiden letzten speziell für Systeme konfiguriert sind, die als IIS-Server ausgeführt werden. Beim Zuweisen mehrerer Instanzen wird quasi eine Zusammenfassung aller Elemente der einzelnen Instanzen zugewiesen. HINWEIS: Die McAfee-Standardrichtlinie für IPS-Regeln und vertrauenswürdige Anwendungen wird im Rahmen von Inhaltsaktualisierungen aktualisiert. Es wird empfohlen, diese beiden Richtlinien immer anzuwenden, um den Schutzmechanismus so auf dem neuesten Stand zu halten. Für Richtlinien mit mehreren Instanzen wird eine Verknüpfung zur gültigen Richtlinie angezeigt. Über diese können Sie die Daten der kombinierten Richtlinieninstanzen einsehen. 94 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Konfigurieren von allgemeinen Richtlinien Definieren vertrauenswürdiger Anwendungen Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberfläche auf das ? klicken. 1 Klicken Sie auf Menü | Systeme | Systemstruktur, und wählen Sie dann in der Systemstruktur eine Gruppe aus. HINWEIS: Bei einem einzelnen System wählen Sie eine Gruppe aus, die das System enthält. Wählen Sie auf der Registerkarte System das System und anschließend Aktionen | Agent | Richtlinien auf einem einzelnen System ändern aus. 2 Wählen Sie unter Zugewiesene Richtlinien in der Liste Produkt den Eintrag Host Intrusion Prevention 8.0: IPS/Allgemein aus, und klicken Sie für IPS-Regeln/Vertrauenswürdige Anwendungen auf Zuweisungen bearbeiten. 3 Klicken Sie auf der Seite Richtlinienzuweisung auf Neue Richtlinieninstanz, und wählen Sie aus der Liste Zugewiesene Richtlinien eine Richtlinie für die zusätzliche Richtlinieninstanz aus. Wenn Sie den gültigen oder kombinierten Instanzregelsatz anzeigen möchten, klicken Sie auf Gültige Richtlinie anzeigen. 4 Speichern Sie die Änderungen mit Speichern. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 95 Arbeiten mit Host Intrusion Prevention-Clients Der Host Intrusion Prevention-Client kann auf Windows-, Solaris- und Linux-Plattformen installiert werden. Nur die Windows-Version des Clients hat eine Benutzeroberfläche, aber alle Versionen verfügen über eine Funktion zur Fehlerbehebung. Die grundlegenden Funktionen der einzelnen Client-Versionen werden hier vorgestellt. Inhalt Übersicht Windows-Client Übersicht Solaris-Client Übersicht Linux-Client Übersicht Windows-Client Über eine Client-Konsole ist die direkte clientseitige Verwaltung des Host Intrusion Prevention Windows-Clients verfügbar. Der Client wird mithilfe des McAfee-Symbols in der Taskleiste oder durch Ausführung von McAfeeFire.exe unter "C:\Programme\McAfee\Host Intrusion Prevention" aufgerufen. Beim ersten Anzeigen der Client-Konsole sind die Optionen gesperrt, und Sie können nur die aktuellen Einstellungen anzeigen. Um Zugriff auf alle Einstellungen in der Konsole zu erhalten, muss die Sperre der Schnittstelle mit einem Kennwort aufgehoben werden. Einzelheiten über das Erstellen und Verwenden von Kennwörtern finden Sie unter Festlegen der erweiterten Optionen und Kennwörter für die Client-Benutzeroberfläche unter "Konfigurieren von allgemeinen Richtlinien". Taskleistenmenü Wenn das McAfee-Symbol in der Taskleiste angezeigt wird, können Sie darüber auf die Host IPS-Client-Konsole zugreifen. Die verfügbaren Funktionen unterscheiden sich je nach der Version des auf dem Client installierten McAfee-Agenten. Mit McAfee Agent 4.0 Klicken Sie mit der rechten Maustaste auf das McAfee Agent-Symbol, und wählen Sie Host Intrusion Prevention aus, um ein Kontextmenü anzuzeigen, über das Sie die Konsole öffnen können. Tabelle 9: Menü von McAfee Agent 4.0 96 Schaltfläche Zweck Konfigurieren Öffnen Sie die Host Intrusion Prevention-Client-Konsole. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Arbeiten mit Host Intrusion Prevention-Clients Übersicht Windows-Client Schaltfläche Zweck Info... Öffnen Sie das Dialogfeld Info zu Host Intrusion Prevention, das die Versionsnummer und andere Produktinformationen anzeigt. Wenn die Option Deaktivieren von Funktionen über das Taskleistenmenü zulassen ausgewählt und in einer Richtlinie Client-Benutzeroberfläche angewendet wird, sind die folgenden zusätzlichen Befehle verfügbar: Tabelle 10: Menü von McAfee Agent 4.0 mit Deaktivieren zulassen Schaltfläche Zweck Einstellungen wiederherstellen Aktivieren aller deaktivierten Funktionen. Nur verfügbar, wenn eine Funktion deaktiviert ist. Alle deaktivieren Deaktivieren der IPS- und der Firewall-Funktion. Nur verfügbar, wenn beide Funktionen aktiviert sind. IPS deaktivieren Deaktivieren der IPS-Funktion. Dies umfasst sowohl die Host IPS- als auch die Netzwerk-IPS-Funktionen. Nur verfügbar, wenn die Funktion aktiviert ist. Firewall deaktivieren Deaktivieren der Firewall-Funktion. Nur verfügbar, wenn die Funktion aktiviert ist. Wenn die Option Zeitbeschränkte Gruppe über das McAfee-Taskleistenmenü aktivieren auf der Registerkarte Zeitplan für eine Firewall-Gruppe in einer angewendeten Richtlinie Firewall-Regeln ausgewählt ist, sind die folgenden zusätzlichen Befehle verfügbar: Tabelle 11: Menü von McAfee Agent 4.0 mit Zeitbeschränkte Gruppe zulassen Schaltfläche Zweck Durch Host IPS zeitbeschränkte Firewall-Regelgruppen aktivieren Aktiviert zeitbeschränkte Firewall-Gruppen für einen festgelegten Zeitraum, um den Nicht-Netzwerkzugriff auf das Internet zuzulassen, bevor Regeln angewendet werden, die den Zugriff beschränken. Bei jeder Auswahl dieses Befehls wird die Zeit für die Gruppen zurückgesetzt. Status der durch Host IPS zeitbeschränkten Firewall-Regelgruppen anzeigen Zeigt die Namen der zeitbeschränkten Gruppen und die verbleibende Zeit, für die die einzelnen Gruppen aktiv sind, an. Mit McAfee Agent 4.5 Klicken Sie mit der rechten Maustaste auf das McAfee Agent-Symbol in der Taskleiste, und wählen Sie Funktionen verwalten | Host Intrusion Prevention aus, um die Konsole zu öffnen. HINWEIS: Das Symbol muss dazu sowohl im McAfee-Agenten als auch auf dem Host IPS-Client angezeigt werden, um diese Zugriffsoption nutzen zu können. Wenn der McAfee-Agent nicht in der Taskleiste angezeigt wird, ist kein Zugriff auf Host IPS über die Taskleiste möglich, selbst wenn für den Client das Anzeigen eines Symbols in der Taskleiste festgelegt wurde. Unter Schnellkonfiguration sind die folgenden Host Intrusion Prevention-Optionen verfügbar, wenn die Option Deaktivieren von Funktionen über das Taskleistenmenü zulassen in einer angewendeten Richtlinie Client-Benutzeroberfläche ausgewählt ist: Tabelle 12: Menü von McAfee Agent 4.5 Schnellkonfiguration Schaltfläche Zweck Host IPS Ein- und Ausschalten des Host IPS-Schutzes. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 97 Arbeiten mit Host Intrusion Prevention-Clients Übersicht Windows-Client Schaltfläche Zweck Netzwerk-IPS Ein- und Ausschalten des Netzwerk-IPS-Schutzes. Firewall Ein- und Ausschalten des Firewall-Schutzes. Wenn unter Schnellkonfiguration die Option Zeitbeschränkte Gruppe über das McAfee-Taskleistenmenü aktivieren auf der Registerkarte "Zeitplan" für eine Firewall-Gruppe in einer angewendeten Richtlinie Firewall-Regeln ausgewählt ist, sind die folgenden zusätzlichen Befehle verfügbar: Tabelle 13: Menü von McAfee Agent 4.5 mit Zeitbeschränkte Gruppe zulassen Schaltfläche Zweck Durch Host IPS zeitbeschränkte Firewall-Regelgruppen aktivieren Aktiviert zeitbeschränkte Firewall-Gruppen für einen festgelegten Zeitraum, um den Nicht-Netzwerkzugriff auf das Internet zuzulassen, bevor Regeln angewendet werden, die den Zugriff beschränken. Bei jeder Auswahl dieses Befehls wird die Zeit für die Gruppen zurückgesetzt. Status der durch Host IPS zeitbeschränkten Firewall-Regelgruppen anzeigen Zeigt die Namen der zeitbeschränkten Gruppen und die verbleibende Zeit, für die die einzelnen Gruppen aktiv sind, an. Client-Konsole für Windows-Clients Über die Host Intrusion Prevention-Client-Konsole können Sie auf verschiedene Konfigurationsoptionen zugreifen. Führen Sie die folgenden Schritte aus, um die Konsole zu öffnen: • In McAfee Agent 4.0 klicken Sie mit der rechten Maustaste auf das McAfee-Symbol, und wählen Sie Host Intrusion Prevention und dann Konfigurieren aus. • In McAfee Agent 4.5 klicken Sie mit der rechten Maustaste auf das McAfee-Symbol, und wählen Sie Funktionen verwalten, Host Intrusion Prevention und dann Konfigurieren aus. • Führen Sie im Ordner "C:\Programme\McAfee\Host Intrusion Prevention" die Datei McAfeeFire.exe aus. In der Konsole können Sie Informationen zu den Funktionen von Host Intrusion Prevention anzeigen und konfigurieren. Sie umfasst mehrere Registerkarten, die jeweils einer speziellen Host Intrusion Prevention-Funktion entsprechen. Entsperren der Windows-Client-Benutzeroberfläche Ein Administrator, der Host Intrusion Prevention mithilfe von ePolicy Orchestrator über den Fernzugriff verwaltet, kann einen Kennwortschutz für die Benutzeroberfläche festlegen, um unbeabsichtigte Änderungen zu verhindern. Mit festen Kennwörtern, die nicht ablaufen, oder zeitbasierten Kennwörtern kann ein Administrator oder Benutzer die Sperrung der Benutzeroberfläche temporär aufheben und Änderungen vornehmen. Bevor Sie beginnen Stellen Sie sicher, dass die allgemeine Host IPS-Richtlinie "Client-Benutzeroberfläche", in der die Kennworteinstellungen enthalten sind, auf den Client angewendet wird. Dies erfolgt bei einer geplanten Richtlinienaktualisierung oder durch Erzwingen einer sofortigen Richtlinienaktualisierung. Der Client erkennt das Kennwort erst nach der erfolgten Richtlinienaktualisierung. 98 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Arbeiten mit Host Intrusion Prevention-Clients Übersicht Windows-Client Task 1 Das Kennwort erhalten Sie vom zuständigen Host Intrusion Prevention-Administrator. HINWEIS: Einzelheiten über das Erstellen von Kennwörtern finden Sie unter Festlegen der erweiterten Optionen und Kennwörter für die Client-Benutzeroberfläche unter Konfigurieren von allgemeinen Richtlinien. 2 Öffnen Sie die Client-Konsole, und wählen Sie Task | Sperrung der Benutzeroberfläche aufheben aus. 3 Geben Sie das Kennwort im Dialogfeld Anmeldung ein, und klicken Sie auf OK. Einstellen von Optionen für die Client-Benutzeroberfläche Die Host Intrusion Prevention-Client-Konsole ermöglicht den Zugriff auf einige Einstellungen, die von der Richtlinie für die Client-Benutzeroberfläche zur Verfügung gestellt werden, und ermöglicht Ihnen, diese für einzelne Clients anzupassen. Bevor Sie beginnen Um folgenden Task durchführen zu können, muss zuerst die Client-Konsole mit einem Kennwort entsperrt werden. Task 1 Wählen Sie in der Client-Konsole Task | Sprache der Benutzeroberfläche festlegen aus. 2 Wählen Sie die Sprache für die Benutzeroberfläche der Client-Konsole aus, und klicken Sie auf OK. Folgende Optionen sind verfügbar: Deutsch, Chinesisch, Englisch, Französisch, Italienisch, Japanisch, Koreanisch, Portugiesisch, Russisch, Spanisch. Wenn Sie Automatisch auswählen wird die Benutzeroberfläche in der Sprache des Betriebssystems angezeigt, auf dem der Client installiert ist. 3 Wählen Sie Bearbeiten | Optionen aus. 4 Im Dialogfeld Host Intrusion Prevention-Optionen aktivieren und deaktivieren Sie die entsprechenden Optionen je nach Bedarf. Klicken Sie anschließend auf OK. Tabelle 14: Optionen auf der Client-Konsole Option Gewünschtes Ergebnis Popup-Warnung anzeigen Im Falle eines Angriffs wird eine Warnung angezeigt (nur IPS). Ton ausgeben Bei einem Angriff wird ein Ton ausgegeben (nur IPS). Benachrichtigung in der Taskleiste anzeigen Das Taskleistensymbol zeigt bei einem Angriff einen Angriffsstatus an (nur IPS). Sniffer-Entdeckung erstellen, falls verfügbar Dem Aktivitätsprotokoll wird eine Ausgabespalte hinzugefügt, um anzuzeigen, dass Sniffer-Intrusionsdaten erfasst wurden. Es wird in der Datei "FirePacketX.cap" unter "C:\Programmdaten\McAfee\Host Intrusion Prevention\McAfee Fire Saved Events" oder "C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\McAfee\Host Intrusion Prevention\McAfee Fire Saved Events" gespeichert (nur IPS). McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 99 Arbeiten mit Host Intrusion Prevention-Clients Übersicht Windows-Client Option Gewünschtes Ergebnis Taskleistensymbol anzeigen Unter dem Taskleistenmenü von McAfee Agent wird "Host Intrusion Prevention" angezeigt. Fehlerbehebung für den Windows-Client Host Intrusion Prevention enthält die Funktion "Problembehandlung", die im Menü "Hilfe" verfügbar ist, wenn die Benutzeroberfläche entsperrt ist. Folgende Optionen sind verfügbar: Tabelle 15: Fehlerbehebungsoptionen Option Definition Protokollierung: Firewall Ermittelt, welche Firewall-Meldungstypen protokolliert werden sollen. Protokollierung: IPS * Ermittelt, welche IPS-Meldungstypen protokolliert werden sollen. Sicherheitsverstöße protokollieren * Protokollierung der IPS-Sicherheitsverstöße im IPS-Protokoll aktivieren. Produkt in der Liste "Software" bzw. "Programme hinzufügen/entfernen" anzeigen Host IPS kann in der Liste "Software" bzw. "Programme hinzufügen/entfernen" angezeigt und vom Client entfernt werden. Funktionen * Deaktiviert bzw. aktiviert Host IPS-Klassenmodule als Teil der Fehlerbehebung neu. * Diese Option steht nur mit IPS-Schutz zur Verfügung. HINWEIS: McAfee bietet ein Dienstprogramm (ClientControl.exe), das die Automatisierung von Upgrades und anderen Wartungsaufgaben unterstützt, wenn Host Intrusion Prevention mit Software von Drittherstellern auf Client-Computern installiert wird. Dieses Befehlszeilendienstprogramm, das sich in Installations- und Wartungsskripte einbinden lässt, um den IPS-Schutz vorübergehend zu deaktivieren und Protokollierungsfunktionen zu aktivieren, wird als Teil der Installation bereitgestellt und befindet sich auf dem Client unter "C:\ Programme\McAfee\Host Intrusion Prevention". Informationen siehe Clientcontrol.exe utility unter Anhang B – Fehlerbehebung. Einstellen von Optionen für die IPS-Protokollierung Als Teil der Fehlerbehebung können Sie IPS-Aktivitätsprotokolle erstellen, die auf dem System analysiert oder an den Support von McAfee gesendet werden können, um Ihnen bei der Behebung möglicher Probleme zu helfen. Verwenden Sie diesen Task, um die IPS-Protokollierung zu aktivieren. Task 1 Wählen Sie in der Host IPS-Konsole Hilfe | Fehlerbehebung aus. 2 Wählen Sie den IPS-Meldungstyp aus: • Fehlerbehebung • Deaktiviert • Fehler • Informationen • Warnung 100 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Arbeiten mit Host Intrusion Prevention-Clients Übersicht Windows-Client Wenn der Meldungstyp auf Deaktiviert festgelegt ist, wird keine Meldung protokolliert. 3 Klicken Sie auf OK. Die Daten werden gespeichert in der Datei "HipShield.log" unter "C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\McAfee\Host Intrusion Prevention\; bei Windows Vista und neueren Versionen unter C:\Programmdaten\McAfee\Host Intrusion Prevention\. Einstellen von Optionen für die Firewall-Protokollierung Als Teil der Fehlerbehebung können Sie IPS- und Firewall-Aktivitätsprotokolle erstellen, die auf dem System analysiert oder an den Support von McAfee gesendet werden können, um Ihnen bei der Behebung möglicher Probleme zu helfen. Aktivieren Sie mit diesem Task die Firewall-Protokollierung. Task 1 Wählen Sie in der Host IPS-Konsole Hilfe | Fehlerbehebung aus. 2 Wählen Sie den Firewall-Meldungstyp aus: • Fehlerbehebung • Deaktiviert • Fehler • Informationen • Warnung Wenn der Meldungstyp auf Deaktiviert festgelegt ist, wird keine Meldung protokolliert. 3 Klicken Sie auf OK. Die Daten werden gespeichert in der Datei "FireSvc.log" unter "C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\McAfee\Host Intrusion Prevention\; bei Windows Vista und neueren Versionen unter C:\Programmdaten\McAfee\Host Intrusion Prevention\. Wenn die Datei eine Größe von 100 MB überschreitet, wird eine neue Datei erstellt. Deaktivieren von Host IPS-Modulen Als Teil der Fehlerbehebung können Sie auch Klassenmodule deaktivieren, die einen Client schützen. Es wird empfohlen, dass nur Administratoren, die mit dem McAfee-Support in Verbindung stehen, dieses Fehlerbehebungsverfahren verwenden. Eine detaillierte Erläuterung dazu, was von den einzelnen Klassen geschützt wird, finden Sie unter Schreiben von benutzerdefinierten Signaturen. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberfläche auf das ? klicken. 1 Wählen Sie in der Host IPS-Konsole Hilfe | Fehlerbehebung aus, und klicken Sie dann auf Funktion. 2 Deaktivieren Sie im Dialogfeld HIPS-Module mindestens ein Modul. Um alle Module zu deaktivieren, heben Sie die Aktivierung von Alle Module aktivieren/deaktivieren auf. HINWEIS: SQL und HTTP werden in der Liste nur dann angezeigt, wenn der Client ein Server-Betriebssystem ausführt. 3 Klicken Sie auf OK. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 101 Arbeiten mit Host Intrusion Prevention-Clients Übersicht Windows-Client 4 Nach Lösung des Problems aktivieren Sie im Dialogfeld HIPS-Module die deaktivierten Module erneut. Windows-Client-Warnungen Mehrere Arten von Warnmeldungen können angezeigt werden, auf die der Benutzer unterschiedlich reagieren muss. Dazu zählen Warnungen zu Intrusionsentdeckung, Firewall und Spoofing-Entdeckung. Firewall-Warnungen werden nur angezeigt, wenn sich der Client für diese Funktionen im Lernmodus befindet. Reagieren auf Intrusionswarnungen Wenn Sie den IPS-Schutz und die Option Popup-Warnung anzeigen aktivieren, wird automatisch eine Warnung angezeigt, wenn Host Intrusion Prevention einen potenziellen Angriff entdeckt. Wenn sich der Client im adaptiven Modus befindet, wird diese Warnung nur dann angezeigt, wenn die Option Client-Regeln zulassen für die Signatur die das Ereignis verursacht hat, aktiviert ist. Auf der Registerkarte Intrusionsinformationen finden Sie Einzelheiten über den Angriff, der die Warnung generiert hat, einschließlich einer Beschreibung des Angriffs, des Benutzer-/Client-Computers, der das Ziel des Angriffs war, des am Angriff beteiligten Prozesses sowie Uhrzeit und Datum des Abfangens durch Host Intrusion Prevention. Darüber hinaus kann eine generische, vom Administrator angegebene Meldung angezeigt werden. Sie können das Ereignis entweder ignorieren, indem Sie auf Ignorieren klicken, oder eine Ausnahmeregel für das Ereignis erstellen, indem Sie auf Ausnahme erstellen klicken. Die Schaltfläche Ausnahme erstellen ist nur aktiv, wenn die Option Client-Regeln zulassen für die Signatur, die das Ereignis verursacht hat, aktiviert ist. Wenn die Warnung das Ergebnis einer HIP-Signatur ist, wird in das Dialogfeld für die Ausnahmeregel vorab der Name des Prozesses, des Benutzers und der Signatur eingetragen. Sie können entweder Alle Signaturen oder Alle Prozesse, nicht jedoch beide Optionen auswählen. Der Benutzername wird immer in die Ausnahme aufgenommen. Wenn die Warnung das Ergebnis einer NIP-Signatur ist, werden in das Dialogfeld für die Ausnahmeregel vorab der Name der Signatur und die Host-IP-Adresse eingetragen. Sie können optional Alle Hosts auswählen. Darüber hinaus können Sie mit Admin benachrichtigen Informationen zum Ereignis an den Host Intrusion Prevention-Administrator senden. Diese Schaltfläche ist nur aktiv, wenn die Option Dem Benutzer erlauben, den Administrator zu benachrichtigen in der angewendeten Richtlinie für die Client-Benutzeroberfläche aktiviert ist. Wählen Sie die Option Keine Warnungen für IPS-Ereignisse anzeigen, um die Anzeige von Warnungen bei IPS-Ereignissen anzuhalten. Wenn Sie nach Auswahl dieser Option die Warnungen wieder anzeigen möchten, wählen Sie im Dialogfeld Optionen die Option Popup-Warnung anzeigen aus. HINWEIS: Diese Eindringversuchswarnung wird auch bei Eindringversuchen in die Firewall angezeigt, wenn eine Firewall-Regel gefunden wird, für die die Option Regelübereinstimmung als Eindringversuch behandeln ausgewählt ist. 102 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Arbeiten mit Host Intrusion Prevention-Clients Übersicht Windows-Client Reagieren auf Firewall-Warnungen Wenn Sie den Firewall-Schutz und den Lernmodus für den eingehenden oder ausgehenden Datenverkehr aktivieren, wird eine Firewall-Warnung angezeigt und der Benutzer muss darauf reagieren. Im Abschnitt Anwendungsinformationen werden Informationen zu der Anwendung angezeigt, die versucht, auf das Netzwerk zuzugreifen. Diese beinhalten den Namen der Anwendung, den Pfad und die Version. Im Abschnitt Verbindungsinformationen werden Informationen zum Protokoll des Datenverkehrs, zur Adresse und den beteiligten Ports angezeigt. HINWEIS: Wenn zusätzliche Protokoll- oder Portinformationen für eine Anwendung vorliegen, werden im Abschnitt Verbindungsinformationen die Schaltflächen Zurück und Weiter angezeigt. Wurde mehr als eine Warnmeldung gesendet, sind die Schaltflächen Zurück und Weiter unten im Dialogfeld verfügbar. Task 1 Führen Sie im Warnmeldungsdialogfeld einen der folgenden Schritte aus: • Klicken Sie auf Verweigern, um diesen und ähnlichen Datenverkehr zu blockieren. 2 • Klicken Sie auf Erlauben, um diesen und ähnlichen Datenverkehr zuzulassen. Optional: Wählen Sie Optionen für die neue Firewall-Regel aus: Option Zweck Firewall-Anwendungsregel für alle Ports und Dienste erstellen Erstellt eine Regel, die den gesamten Datenverkehr einer Anwendung über alle Ports und Dienste zulässt bzw. blockiert. Wenn Sie diese Option nicht auswählen, dann gilt die neue Firewall-Regel nur für bestimmte Ports: Diese Regel bei Beenden der Anwendung löschen • Wenn der abgefangene Datenverkehr einen Port unter 1024 verwendet, bezieht sich die neue Regel nur auf diesen Port. • Wenn der Datenverkehr den Port 1024 oder einen darüberliegenden verwendet, dann bezieht sich die neue Regel auf alle Ports zwischen 1024 und 65535. Erstellt eine temporäre Zulassungs- oder Blockierungsregel, die beim Schließen der Anwendung gelöscht wird. Wenn Sie diese Option nicht auswählen, dann wird die neue Firewall-Regel als permanente Client-Regel erstellt. Host Intrusion Prevention erstellt eine neue Firewall-Regel auf Grundlage der ausgewählten Optionen, fügt diese zur Richtlinienliste Firewall-Regeln hinzu und wendet sie automatisch auf ähnlichen Datenverkehr an. Reagieren auf Warnungen bei erkanntem Spoofing Nach Aktivierung des Firewall-Schutzes wird automatisch eine Spoof-Warnung angezeigt, wenn Host Intrusion Prevention erkennt, dass eine Anwendung auf dem Computer gefälschte Netzwerkdaten sendet und ein Benutzer darauf reagieren muss. Das bedeutet, dass die Anwendung versucht, den Datenverkehr als von Ihrem Computer ausgehend zu tarnen; tatsächlich stammt er jedoch von einem anderen Computer. Hierzu wird die IP-Adresse in den ausgehenden Paketen verändert. Spoofing ist stets eine verdächtige McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 103 Arbeiten mit Host Intrusion Prevention-Clients Übersicht Windows-Client Aktivität. Wenn dieses Dialogfeld angezeigt wird, sollten Sie die Anwendung, die den gefälschten Datenverkehr erzeugt hat, sofort überprüfen. HINWEIS: Das Dialogfeld Warnungen bei erkanntem Spoofing wird nur angezeigt, wenn die Option Popup-Warnung anzeigen ausgewählt ist. Wenn Sie diese Option nicht aktivieren, blockiert Host Intrusion Prevention automatisch den gefälschten Datenverkehr, ohne Sie diesbezüglich zu benachrichtigen. Das Dialogfeld Warnungen bei erkanntem Spoofing entspricht weitgehend der Warnung durch die Firewall-Funktion für den Lernmodus. Es enthält in zwei Abschnitten Informationen über den abgefangenen Datenverkehr – im Abschnitt Anwendungsinformationen und im Abschnitt Verbindungsinformationen. Im Abschnitt Anwendungsinformationen wird Folgendes angezeigt: • Die IP-Adresse, von der der Datenverkehr angeblich stammt. • Informationen über das Programm, das den gefälschten Datenverkehr erzeugt hat. • Datum und Uhrzeit, zu der der Datenverkehr durch Host Intrusion Prevention abfangen wurde. Im Abschnitt Verbindungsinformationen werden weitere Netzwerkdaten angezeigt: Lokale Adresse zeigt die IP-Adresse an, die die Anwendung angeblich hat, während Remote-Adresse die tatsächliche IP-Adresse anzeigt. Wenn Host Intrusion Prevention gefälschten Netzwerkdatenverkehr entdeckt, wird sowohl der Datenverkehr als auch die Anwendung blockiert, die ihn erzeugt hat. Informationen zur Registerkarte "IPS-Richtlinie" Verwenden Sie die Registerkarte "IPS-Richtlinie", um die IPS-Funktion zu konfigurieren, die einen auf Signatur- und Verhaltensregeln basierenden Schutz vor Host-Intrusionsangriffen bietet. Über diese Registerkarte können Sie Funktionen aktivieren und deaktivieren und Client-Ausnahmeregeln konfigurieren. Weitere Einzelheiten zu IPS-Richtlinien finden Sie im Abschnitt Konfigurieren von IPS-Richtlinien. Die Registerkarte "IPS-Richtlinie" zeigt Ausnahmeregeln an, die für den Client relevant sind, mit zusammengefassten und detaillierten Informationen über jede Regel. Tabelle 16: Registerkarte "IPS-Richtlinie" Diese Spalte... Zeigt Folgendes an... Ausnahme Name der Ausnahme. Signatur Der Name der Signatur, für die die Ausnahme erstellt wird. Anwendung Die Anwendung, für die diese Regel gilt, einschließlich des Programmnamens und des Namens der ausführbaren Datei. Anpassen von Optionen für IPS-Richtlinien Mit den Optionen oben auf der Registerkarte werden die Einstellungen gesteuert, die durch Server-seitige IPS-Richtlinien zur Verfügung gestellt werden, nachdem die Client-Benutzeroberfläche entsperrt wurde. Task 1 104 In der Host IPS-Client-Konsole klicken Sie auf die Registerkarte IPS-Richtlinie. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Arbeiten mit Host Intrusion Prevention-Clients Übersicht Windows-Client 2 Aktivieren und deaktivieren Sie die entsprechende Option je nach Bedarf. Option Zweck Host IPS aktivieren Aktivieren des Host Intrusion Prevention-Schutzes. Netzwerk-IPS aktivieren Aktivieren des Schutzes durch den Netzwerkeindringungsschutz. Adaptiven Modus aktivieren Aktivieren des adaptiven Modus, um automatisch Ausnahmen für Eindringungsschutz-Signaturen zu erstellen. Angreifer automatisch blockieren Automatisches Blockieren von Netzwerkintrusions-Angriffen für einen bestimmten Zeitraum. Gibt die Anzahl der Minuten im entsprechenden Feld an. Erstellen und Bearbeiten von Ausnahmeregeln für IPS-Richtlinien IPS-Ausnahmeregeln können auf dem Client auf der Registerkarte IPS-Richtlinie angezeigt, erstellt und bearbeitet werden. Task 1 Klicken Sie in der Registerkarte IPS-Richtlinie auf Hinzufügen, um eine Regel hinzuzufügen. 2 Geben Sie im Dialogfeld Ausnahmeregel eine Beschreibung für die Regel ein. 3 Wählen Sie in der Anwendungsliste die Anwendung aus, für die die Regel gilt, oder klicken Sie auf Suchen, um nach der Anwendung zu suchen. 4 Wählen Sie Ausnahmeregel ist aktiv, um die Regel zu aktivieren. Die Ausnahme gilt für alle Signaturen ist laut Standardeinstellung nicht aktiviert und nicht ausgewählt; diese Option wendet die Ausnahme auf alle Signaturen an. 5 Klicken Sie auf OK. 6 Führen Sie für andere Bearbeitungen einen der folgenden Schritte durch: Zweck Vorgehensweise Anzeigen der Einzelheiten einer Regel oder Bearbeiten Doppelklicken Sie auf eine Regel oder wählen Sie eine einer Regel Regel aus, und klicken Sie auf Eigenschaften. Das Dialogfeld Ausnahmeregel wird angezeigt, in dem Regelinformationen angezeigt werden, die bearbeitet werden können. Aktivieren/Deaktivieren einer Regel Aktivieren oder deaktivieren Sie das Kontrollkästchen Ausnahmeregel ist aktiv im Dialogfeld Ausnahmeregel. Sie können auch das Kontrollkästchen neben dem Regelsymbol in der Liste aktivieren oder deaktivieren. Löschen einer Regel Wählen Sie eine Regel aus, und klicken Sie auf Entfernen. Sofortiges Übernehmen der Änderungen Klicken Sie auf Übernehmen. Wenn Sie nach den vorgenommenen Änderungen nicht auf diese Schaltfläche klicken, wird ein Dialogfeld mit der Mitteilung angezeigt, ob die Änderungen gespeichert werden sollen. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 105 Arbeiten mit Host Intrusion Prevention-Clients Übersicht Windows-Client Informationen zur Registerkarte "Firewall-Richtlinie" Auf der Registerkarte Firewall-Richtlinie konfigurieren Sie die Firewall-Funktion, die auf Basis der von Ihnen bestimmten Regeln die Netzwerkkommunikation gestattet oder blockiert. Über diese Registerkarte können Sie Funktionen aktivieren und deaktivieren und Client-Firewall-Regeln konfigurieren. Weitere Einzelheiten zu Firewall-Richtlinien finden Sie im Abschnitt Konfigurieren von Firewall-Richtlinien. Die Firewall-Regelliste zeigt Regeln und Regelgruppen an, die für den Client relevant sind, mit zusammengefassten und detaillierten Informationen über jede Regel. Regeln in Kursivschrift können nicht bearbeitet werden. Tabelle 17: Registerkarte "Firewall-Richtlinie" Element Beschreibung Kontrollkästchen Gibt an, ob die Regel aktiviert (ausgewählt) oder deaktiviert (nicht ausgewählt) ist. Regeln, die nicht in Kursivschrift angezeigt werden, können über das Kontrollkästchen aktiviert oder deaktiviert werden. Firewall-Gruppe Zeitbeschränkte Gruppe Zeigt die Liste der enthaltenen Regeln an. Klicken Sie auf das Feld mit dem Pluszeichen, um die Regeln anzuzeigen, bzw. auf das Feld mit dem Minuszeichen, um sie auszublenden. Zeigt die Gruppe als zeitbeschränkte Gruppe an. Zeigt die Gruppe als standortabhängige Gruppe an. Standortabhängige Gruppe Firewall-Regel Zeigt die grundlegenden Eigenschaften der Regel an. Klicken Sie auf das Feld mit dem Pluszeichen, um die Eigenschaften anzuzeigen, bzw. auf das Feld mit dem Minuszeichen, um sie auszublenden. Regelaktion Gibt an, ob es sich um eine Regel handelt, die den Datenverkehr gestattet ( ) oder blockiert ( ). Regelrichtung Gibt an, ob die Regel für eingehenden ausgehenden Datenverkehr, Datenverkehr oder beides gilt. Anpassen von Optionen für Firewall-Richtlinien Mit den Optionen oben auf der Registerkarte werden die Einstellungen gesteuert, die durch Server-seitige Firewall-Richtlinien zur Verfügung gestellt werden, nachdem die Client-Benutzeroberfläche entsperrt wurde. Task 106 1 In der Host IPS-Client-Konsole klicken Sie auf die Registerkarte Firewall-Richtlinie. 2 Aktivieren und deaktivieren Sie die entsprechende Option je nach Bedarf. Zweck Option Aktivieren des Firewall-Richtlinienschutzes. Firewall aktivieren Aktivieren des Lernmodus für den eingehenden Datenverkehr. Lernmodus eingehend McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Arbeiten mit Host Intrusion Prevention-Clients Übersicht Windows-Client Zweck Option Aktivieren des Lernmodus für den ausgehenden Datenverkehr. Lernmodus ausgehend Aktivieren des adaptiven Modus. Adaptiver Modus Anzeigen der vertrauenswürdigen Netzwerke. Vertrauenswürdige Netzwerke Erstellen und Bearbeiten von Firewall-Regeln Firewall-Regeln können auf dem Client auf der Registerkarte Firewall-Richtlinie angezeigt, erstellt und bearbeitet werden. Task 1 Klicken Sie auf der Registerkarte Firewall-Richtlinie auf Hinzufügen, um eine Regel hinzuzufügen. HINWEIS: In der Client-Konsole können Sie nur Regeln, keine Gruppen erstellen. 2 Geben Sie auf der Seite Allgemein den Namen der Regel ein, und wählen Sie die Informationen für die Regelaktion und -richtung aus. 3 Klicken Sie auf Weiter, um zu den anderen Seiten zu wechseln und die Standardeinstellungen zu ändern. HINWEIS: Jede Seite des Regelgenerators entspricht einer Registerkarte des Firewall-Regelgenerators in der Richtlinie "Firewall-Regeln". Seite Einzugebende Informationen Allgemein Name, Status, Aktion und Richtung der Regel. Netzwerke IP-Adresse, Subnetz, Domäne oder ein anderer spezieller Bezeichner für diese Regel. Transport Das Protokoll und die lokale und Remote-Adressen, für die diese Regel gilt. Sie können eine spezifische Adresse, einen Adressbereich, eine Liste spezifischer Adressen oder alle Adressen angeben. Anwendungen Die Anwendung, für die diese Regel gilt, einschließlich des Namens der ausführbaren Datei. Plan Der Zeitplan für die Regel, sofern verfügbar. 4 Klicken Sie auf Fertig stellen, um die neue Regel zu speichern. 5 Führen Sie für andere Bearbeitungen einen der folgenden Schritte durch: Zweck Vorgehensweise Anzeigen der Einzelheiten einer Wählen Sie eine Regel aus, und klicken Sie auf Eigenschaften. Das Regel oder Bearbeiten einer Firewall-Regelgenerator-Dialogfeld mit den Regelinformationen wird angezeigt. Regel Wenn die Regel nicht in Kursivschrift angezeigt wird, können Sie sie bearbeiten. Aktivieren/Deaktivieren einer Regel Aktivieren oder deaktivieren Sie das Kontrollkästchen neben "Aktiviert" auf der Seite Allgemein der Firewall-Regel. Sie können auch das Kontrollkästchen neben der Regel in der Liste aktivieren oder deaktivieren. Erstellen einer Kopie einer vorhandenen Regel Wählen Sie die Regel aus, normalerweise eine Standardregel, die nicht bearbeitet werden kann, und klicken Sie auf Duplizieren. Löschen einer Regel Wählen Sie eine Regel aus, und klicken Sie auf Entfernen. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 107 Arbeiten mit Host Intrusion Prevention-Clients Übersicht Windows-Client Zweck Vorgehensweise Sofortiges Übernehmen der Änderungen Klicken Sie auf Übernehmen. Wenn Sie nach den vorgenommenen Änderungen nicht auf diese Schaltfläche klicken, wird ein Dialogfeld mit der Mitteilung angezeigt, ob die Änderungen gespeichert werden sollen. Informationen zur Registerkarte "Blockierte Hosts" Verwenden Sie die Registerkarte Blockierte Hosts, um eine Liste von blockierten Hosts (IP-Adressen) zu überwachen, die automatisch erstellt wird, wenn der Netzwerk-IPS-Schutz (NIPS) aktiviert ist. Wenn die Option Client-Regeln erstellen in der Richtlinie "IPS-Optionen" in der ePolicy Orchestrator-Konsole ausgewählt ist, können Sie die Liste der blockierten Hosts erweitern und bearbeiten. Die Liste der blockierten Hosts zeigt alle Hosts an, die gegenwärtig durch Host Intrusion Prevention blockiert werden. Jede Zeile stellt einen einzelnen Host dar. Weitere Einzelheiten über einzelne Hosts finden Sie in den Informationen in den einzelnen Spalten. Tabelle 18: Registerkarte Blockierte Hosts Spalte Anzeige Quelle Die durch Host Intrusion Prevention blockierte IP-Adresse. Blockierungsgrund Eine Erklärung, weshalb Host Intrusion Prevention diese Adresse blockiert. Hat Host Intrusion Prevention diese Adresse aufgrund eines Angriffs auf das System der Liste hinzugefügt, wird die Art des Angriffs in dieser Spalte genauer beschrieben. Hat Host Intrusion Prevention diese Adresse hinzugefügt, weil eine der Firewall-Regeln die Option Regelübereinstimmung als Intrusion behandeln verwendet hat, steht in dieser Spalte der Name der jeweiligen Firewall-Regel. Wurde die Adresse von Hand hinzugefügt, steht in der Spalte nur die blockierte IP-Adresse. Uhrzeit Uhrzeit- und Datum des Zeitpunkts, an dem diese Adresse von Ihnen zur Liste der blockierten Adressen hinzugefügt wurde. Verbleibende Zeit Dauer des Blockierens dieser Adresse durch Host Intrusion Prevention. Haben Sie bei Blockierung dieser Adresse eine Ausnahme angegeben, werden in dieser Spalte die Minuten angezeigt, nach deren Ablauf Host Intrusion Prevention die Adresse aus der Liste löscht. Wurde angegeben, dass die Adresse solange blockiert werden soll, bis sie manuell aus der Liste gelöscht wird, steht in dieser Spalte Bis zur Entfernung. Bearbeiten der Liste "Blockierte Hosts" Die Liste der blockierten Adressen kann bearbeitet werden, um blockierte Hosts hinzuzufügen, zu entfernen, zu ändern und aufzurufen. Task 1 108 Klicken Sie auf Hinzufügen, um einen Host hinzuzufügen. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Arbeiten mit Host Intrusion Prevention-Clients Übersicht Windows-Client 2 Geben Sie im Dialogfeld "Blockierter Host" die zu blockierende IP-Adresse ein. Um eine IPS-Adresse nach Domänenname zu suchen, klicken Sie auf DNS-Suche. Wenn Sie den gewünschten Hostnamen finden, klicken Sie auf Verwenden. 3 Geben Sie die Anzahl der Minuten ein (max. 60), für welche die IP-Adresse blockiert wird. 4 Klicken Sie auf OK. HINWEIS: Nachdem Sie eine blockierte Adresse erstellt haben, fügt Host Intrusion Prevention einen neuen Eintrag zur Liste auf der Registerkarte Anwendungsschutz hinzu. Alle von dieser IP-Adresse ausgehenden Kommunikationsversuche werden blockiert, bis Sie die Adresse aus der Liste der blockierten Adressen entfernen oder bis eine festgelegte Zeitspanne verstrichen ist. 5 Führen Sie für andere Bearbeitungen einen der folgenden Schritte durch: Zweck Vorgehensweise Anzeigen der Einzelheiten oder Bearbeiten eines blockierten Hosts Doppelklicken Sie auf einen Host-Eintrag oder wählen Sie einen Host aus, und klicken Sie auf Eigenschaften. Im Dialogfeld Blockierte Hosts werden Informationen angezeigt, die bearbeitet werden können. Löschen eines blockierten Hosts Wählen Sie einen Host aus, und klicken Sie auf Entfernen. Sofortiges Übernehmen der Änderungen Klicken Sie auf Übernehmen. Wenn Sie nach den vorgenommenen Änderungen nicht auf diese Schaltfläche klicken, wird ein Dialogfeld mit der Mitteilung angezeigt, ob die Änderungen gespeichert werden sollen. Informationen zur Registerkarte "Anwendungsschutzliste" Auf der Registerkarte Anwendungsschutzliste wird eine Liste von geschützten Anwendungen auf dem Client angezeigt. Hierbei handelt es sich um eine über eine administrative Richtlinie erstellte schreibgeschützte Liste und um eine heuristisch erstellte clientspezifische Anwendungsliste. In dieser Liste werden alle auf dem Client überwachten Prozesse angezeigt. Tabelle 19: Registerkarte Anwendungsschutz Spalte Anzeige Prozess Der Anwendungsprozess. PID Die Prozess-ID, die der Schlüssel für die Cache-Suche eines Prozesses ist. Vollständiger Pfad der Anwendung Der vollständige Pfadname der ausführbaren Anwendung. Arbeiten mit der Registerkarte "Aktivitätsprotokoll" Auf der Registerkarte Aktivitätsprotokoll werden die Protokollierungsfunktion konfiguriert und Host Intrusion Prevention-Aktionen nachverfolgt. Das Aktivitätsprotokoll enthält ein laufendes Aktivitätsprotokoll. Die neuesten Aktivitäten werden unten in der Liste angezeigt. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 109 Arbeiten mit Host Intrusion Prevention-Clients Übersicht Windows-Client Spalte Anzeige Uhrzeit Datum und Uhrzeit der Host Intrusion Prevention-Aktion. Ereignis Die Funktion, die diese Aktion durchgeführt hat. • Verkehr weist auf eine Firewall-Aktion hin. • Anwendung weist auf eine Anwendungsblockieraktion hin. • Intrusion weist auf eine IPS-Aktion hin. • System weist auf einen Ereignisbezug zu den internen Komponenten der Software hin. • Dienst weist auf einen Ereignisbezug zum Dienst oder den Treibern der Software hin. IP-Adresse/Benutzer Die Remote-Adresse, an die diese Kommunikation entweder gesendet oder von der sie empfangen wurde. Intrusionsdaten Dieses Symbol zeigt an, dass Host Intrusion Prevention die mit diesem Angriff verknüpften Paketdaten gespeichert hat (wird nur für IPS-Protokolleinträge angezeigt). Sie können die mit diesem Protokolleintrag verknüpften Paketdaten exportieren. Klicken Sie mit der rechten Maustaste auf den Protokolleintrag, um die Daten in einer Sniffer-Datei zu speichern. HINWEIS: Diese Spalte wird nur angezeigt, wenn Sie Sniffer-Entdeckung erstellen... im Dialogfeld McAfee-Optionen wählen. Anwendung Das Programm, das die Aktion verursacht hat. Nachricht Eine detaillierte Beschreibung der Aktion. Regelübereinstimmung Der Name der übereinstimmenden Regel. HINWEIS: Diese Spalte befindet sich ganz rechts in der Anzeige, sodass Sie entweder einen Bildlauf ausführen oder die Größe der Spalten anpassen müssen, um die Spalte und den Inhalt anzuzeigen. Anpassen von Optionen für das Aktivitätsprotokoll Mit den Optionen oben auf der Registerkarte werden die Protokollierungseinstellungen gesteuert, die durch Server-seitige Client-UI-Richtlinien zur Verfügung gestellt werden, nachdem die Client-Benutzeroberfläche entsperrt wurde. Task 1 In der Host IPS-Client-Konsole klicken Sie auf die Registerkarte Aktivitätsprotokoll. 2 Aktivieren und deaktivieren Sie die entsprechende Option je nach Bedarf. Option Zweck Verkehrsprotokollierung – Alle Blockierungen protokollieren Protokollieren des gesamten blockierten Firewall-Datenverkehrs. Verkehrsprotokollierung – Alle Zulassungen protokollieren Protokollieren des gesamten zulässigen Firewall-Datenverkehrs. Filteroptionen – Datenverkehr Filtern der Daten, um blockierten und zulässigen Firewall-Datenverkehr anzuzeigen. Filteroptionen – Intrusionen Filtern der Daten, um Intrusionen anzuzeigen. HINWEIS: Sie können die Protokollierung für den Firewall-Datenverkehr aktivieren und deaktivieren, jedoch nicht für die IPS-Funktion. Sie können jedoch festlegen, dass diese Ereignisse im Protokoll durch Filterung ausgeblendet werden. 110 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Arbeiten mit Host Intrusion Prevention-Clients Übersicht Solaris-Client 3 Führen Sie einen der folgenden Schritte aus, um die Anzeige zu ändern: Zweck Vorgehensweise Aktualisieren der Anzeige Klicken Sie auf Aktualisieren. Endgültiges Löschen der Protokollinhalte Klicken Sie auf Löschen. Speichern der Protokollinhalte und Löschen der Liste aus der Registerkarte Klicken Sie auf Exportieren. Benennen und speichern Sie die TXT-Datei im angezeigten Dialogfeld. Sofortiges Übernehmen der Änderungen Klicken Sie auf Übernehmen. Wenn Sie nach den vorgenommenen Änderungen nicht auf diese Schaltfläche klicken, wird ein Dialogfeld mit der Mitteilung angezeigt, ob die Änderungen gespeichert werden sollen. Übersicht Solaris-Client Der Host Intrusion Prevention-Client für Solaris erkennt und blockiert schädliche Angriffe, mit denen versucht wird, die Dateien und Anwendungen auf einem Solaris-Server zu schädigen. Der Client schützt das Betriebssystem des Servers sowie Apache- und Sun-Web-Server, wobei verstärkt auf das Verhindern von Buffer Overflow-Angriffen geachtet wird. Richtlinienerzwingung mit dem Solaris-Client Nicht alle Richtlinien, die einen Windows-Client schützen, stehen dem Solaris-Client zur Verfügung. Host Intrusion Prevention schützt also den Hostserver vor schädlichen Angriffen, bietet jedoch keinen Firewall-Schutz. Die gültigen Richtlinien sind hier aufgelistet. Tabelle 20: Solaris-Client-Richtlinien Richtlinie Verfügbare Optionen Host Intrusion Prevention 8.0 IPS IPS-Optionen • HIPS aktivieren • Adaptiven Modus aktivieren • Bestehende Client-Regeln beibehalten IPS-Schutz Alle IPS-Regeln • Ausnahmeregeln • Signaturen (nur standardmäßige und benutzerdefinierte HIPS-Regeln) HINWEIS: NIPS-Signaturen und Anwendungsschutzregeln sind nicht verfügbar. Host Intrusion Prevention 8.0 IPS Allgemein Client-Benutzeroberfläche Das Tool zur Fehlerbehebung kann nur mit Administratoroder zeitbasiertem Kennwort verwendet werden. Vertrauenswürdige Netzwerke Keine Vertrauenswürdige Anwendungen Nur mit Für IPS als vertrauenswürdig markieren und Neuer Prozessname können vertrauenswürdige Anwendungen hinzugefügt werden. Host Intrusion Prevention 8.0 Firewall Keine McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 111 Arbeiten mit Host Intrusion Prevention-Clients Übersicht Solaris-Client Fehlerbehebung für den Solaris-Client Sollte während der Installation oder Deinstallation des Clients ein Problem aufgetreten sein, können verschiedene Sachen überprüft werden. Sie können beispielsweise prüfen, ob alle erforderlichen Dateien im richtigen Verzeichnis installiert wurden, den Client deinstallieren und dann erneut installieren und die Prozessprotokolle überprüfen. Darüber hinaus können möglicherweise Probleme beim Client-Betrieb auftreten. Sie können prüfen, ob der Client ausgeführt wird, den Client anhalten und neu starten. Der Solaris-Client verfügt nicht über eine Benutzerschnittstelle zur Behebung von Betriebsproblemen. Er bietet jedoch ein Fehlerbehebungstool in der Befehlszeile, hipts, das sich im Verzeichnis /opt/McAfee/hip befindet. Um dieses Tool verwenden zu können, müssen Sie ein Host Intrusion Prevention-Client-Kennwort eingeben. Verwenden Sie das Standardkennwort, das Sie mit dem Client erhalten haben (abcde12345), oder senden Sie eine Richtlinie für die Client-Benutzeroberfläche an den Client, die entweder ein Administratorkennwort oder ein zeitbasiertes Kennwort enthält, das mit der Richtlinie festgelegt wurde, und verwenden Sie dieses Kennwort. Verwenden Sie das Fehlerbehebungstool für Folgendes: • Angeben der Protokollierungseinstellungen und des Modulstatus für den Client • Aktivieren und Deaktivieren der Nachrichtenprotokollierung • Aktivieren und Deaktivieren der Module Melden Sie sich als Root-Benutzer an und führen Sie die folgenden Befehle aus, um bei der Fehlerbehebung zu helfen. Zweck Ausführung Abrufen des aktuellen Status des Clients, der angibt, hipts status welche Protokollierungsart aktiviert ist und welche Module ausgeführt werden. Aktivieren der Protokollierung bestimmter Nachrichtentypen. hipts logging on Deaktivieren der Protokollierung für alle Nachrichtentypen. hipts logging off Die Protokollierung ist standardmäßig deaktiviert. Anzeigen des angegebenen Nachrichtentyps, wenn die Protokollierung auf "on" gesetzt ist. Die Meldungen umfassen Folgendes: • Fehler • Warnung • Debug • Info • Verstöße hipts message <Meldungsname>:on Anzeigen des angegebenen Nachrichtentyps, wenn die hipts message <Meldungsname>:off Protokollierung auf "on" gesetzt ist. Die Fehlermeldung ist standardmäßig deaktiviert. Anzeigen aller Nachrichtentypen, wenn die Protokollierung hipts message all:on auf "on" gesetzt ist. Verbergen aller Nachrichtentypen, wenn die Protokollierung hipts message all:off auf "on" gesetzt ist. Aktivieren des angegebenen Moduls. Das Modul ist standardmäßig aktiviert. Die Module umfassen: 112 • MISC • FILES hipts message <Meldungsname>:on McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Arbeiten mit Host Intrusion Prevention-Clients Übersicht Solaris-Client Zweck • GUID • MMAP • BO • HTTP Ausführung Deaktivieren des angegebenen Moduls. hipts message <Meldungsname>:off Aktivieren aller Module. hipts engines all:on Deaktivieren aller Module. hipts engines all:off TIPP: Zusätzlich zur Verwendung des Fehlerbehebungstools können Sie mit Hilfe der Dateien HIPShield.log und HIPClient.log im Verzeichnis /opt/McAfee/hip/log Vorgänge überprüfen oder Probleme nachverfolgen. Überprüfen der Solaris-Installationsdateien Nach der Installation sollten Sie überprüfen, ob alle Dateien im richtigen Verzeichnis auf dem Client installiert wurden. Das Verzeichnis opt/McAfee/hip sollte die folgenden grundlegenden Dateien und Verzeichnisse enthalten: Datei-/Verzeichnisname Beschreibung HipClient; HipClient-bin Solaris-Client HipClientPolicy.xml Richtlinienregeln hipts; hipts-bin Fehlerbehebungstool *.so Gemeinsame Objektmodule von Host Intrusion Prevention und McAfee Agent Protokollverzeichnis Enthält Debug- und Fehlerprotokolldateien Der Installationsverlauf wird in die Datei /opt/McAfee/etc/hip-install.log geschrieben. Lesen Sie in dieser Datei nach, wenn Sie Fragen zur Installation oder Entfernung des Host Intrusion Prevention-Clients haben. Überprüfen, ob der Solaris-Client ausgeführt wird Auch wenn der Client ordnungsgemäß installiert ist, können während des Betriebs Probleme auftreten. Wenn der Client beispielsweise nicht in der ePO-Konsole angezeigt wird, überprüfen Sie mithilfe eines der folgenden Befehle, ob er ausgeführt wird: • /etc/rc2.d/S99hip status • ps –ef | grep Hip Anhalten des Solaris-Clients Bei der Fehlerbehebung muss eventuell ein ausgeführter Client angehalten und neu gestartet werden. Task 1 Um einen ausgeführten Client anzuhalten, deaktivieren Sie zuerst den IPS-Schutz. Verwenden Sie eine der folgenden Vorgehensweisen: McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 113 Arbeiten mit Host Intrusion Prevention-Clients Übersicht Linux-Client • Stellen Sie die IPS-Optionen in der ePO-Konsole auf Aus, und wenden Sie die Richtlinie auf den Client an. • Sie müssen im Stammverzeichnis angemeldet sein und folgenden Befehl ausführen: hipts engines MISC:off 2 Führen Sie folgenden Befehl aus: /sbin/rc2.d/S99hip stop. Neustarten des Solaris-Clients Bei der Fehlerbehebung muss eventuell ein ausgeführter Client angehalten und neu gestartet werden. Task 1 Führen Sie folgenden Befehl aus: /etc/rc2.d/S99hip restart. 2 Aktivieren Sie den IPS-Schutz. Verwenden Sie eine der folgenden Vorgehensweisen, je nachdem, welche Sie zum Anhalten des Clients verwendet haben: • Stellen Sie die IPS-Optionen in der ePO-Konsole auf Ein, und wenden Sie die Richtlinie auf den Client an. • Sie müssen im Stammverzeichnis angemeldet sein und folgenden Befehl ausführen: hipts engines MISC:on Übersicht Linux-Client Der Host Intrusion Prevention-Client für Linux erkennt und blockiert schädliche Angriffe, mit denen versucht wird, die Dateien und Anwendungen auf einem Linux-Server zu schädigen. Der Client schützt das Betriebssystem des Servers sowie Apache-Web-Server, wobei verstärkt auf das Verhindern von Buffer Overflow-Angriffen geachtet wird. Richtlinienerzwingung mit dem Linux-Client Nicht alle Richtlinien, die einen Windows-Client schützen, stehen dem Linux-Client zur Verfügung. Host Intrusion Prevention schützt also den Hostserver vor schädlichen Angriffen, bietet jedoch keinen Schutz vor Netzwerkintrusionen, einschließlich Buffer Overflow. Die gültigen Richtlinien sind im Anschluss aufgeführt. Tabelle 21: Linux-Client-Richtlinien Richtlinie Verfügbare Optionen Host Intrusion Prevention 8.0 IPS IPS-Optionen • HIPS aktivieren • Adaptiven Modus aktivieren • Bestehende Client-Regeln beibehalten IPS-Schutz Alle IPS-Regeln • Ausnahmeregeln • Signaturen (nur standardmäßige und benutzerdefinierte HIPS-Regeln) HINWEIS: NIPS-Signaturen und Anwendungsschutzregeln sind nicht verfügbar. 114 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Arbeiten mit Host Intrusion Prevention-Clients Übersicht Linux-Client Richtlinie Verfügbare Optionen Host Intrusion Prevention 8.0 IPS Allgemein Client-Benutzeroberfläche Das Tool zur Fehlerbehebung kann nur mit Administratoroder zeitbasiertem Kennwort verwendet werden. Vertrauenswürdige Netzwerke Keine Vertrauenswürdige Anwendungen Nur mit Für IPS als vertrauenswürdig markieren und Neuer Prozessname können vertrauenswürdige Anwendungen hinzugefügt werden. Host Intrusion Prevention 8.0 Firewall Keine Anmerkungen zum Linux-Client • Der Host IPS 8.0-Linux-Client ist nicht mit SELinux im Erzwingungsmodus kompatibel. Um den Erzwingungsmodus zu deaktivieren, führen Sie folgenden Befehl aus: system-config-securitylevel. Ändern Sie die Einstellung auf "Deaktiviert", und starten Sie das Client-System erneut. • Wenn die Host IPS 8.0-Linux-Kernel-Module geladen werden, wird das SUSE-Kernel als "infiziert" gemeldet. Im Kernel-Protokoll wird folgende Markierung angegeben: schook: module not supported by Novell, setting U taint flag; hipsec: module not supported by Novell, setting U taint flag. Aufgrund der Novell-Anforderungen für Drittanbietermodule wird das Host IPS-Kernel als infiziert gekennzeichnet. Da die Host IPS 8.0-Linux-Kernel-Module GPL-lizenziert sind, kann diese Meldung ignoriert werden. McAfee arbeitet gemeinsam mit Novell an einer Lösung dieses Problems. Fehlerbehebung für den Linux-Client Sollte während der Installation oder Deinstallation des Clients ein Problem aufgetreten sein, können verschiedene Sachen überprüft werden. Sie können beispielsweise prüfen, ob alle erforderlichen Dateien im richtigen Verzeichnis installiert wurden, den Client deinstallieren und dann erneut installieren und die Prozessprotokolle prüfen. Darüber hinaus können möglicherweise Probleme beim Client-Betrieb auftreten. Sie können prüfen, ob der Client ausgeführt wird, den Client anhalten und neu starten. Der Linux-Client verfügt nicht über eine Benutzerschnittstelle zur Behebung von Bedienungsproblemen. Er bietet jedoch ein Fehlerbehebungstool in der Befehlszeile, hipts, das sich im Verzeichnis opt/McAfee/hip befindet. Um dieses Tool verwenden zu können, müssen Sie ein Host Intrusion Prevention-Client-Kennwort eingeben. Verwenden Sie das Standardkennwort, das Sie mit dem Client erhalten haben (abcde12345), oder senden Sie eine Richtlinie für die Client-Benutzeroberfläche an den Client, die entweder ein Administratorkennwort oder ein zeitbasiertes Kennwort enthält, das mit der Richtlinie festgelegt wurde, und verwenden Sie dieses Kennwort. Verwenden Sie das Fehlerbehebungstool für Folgendes: • Angeben der Protokollierungseinstellungen und des Modulstatus für den Client • Aktivieren und Deaktivieren der Nachrichtenprotokollierung • Aktivieren und Deaktivieren der Module Melden Sie sich als Root-Benutzer an und führen Sie die folgenden Befehle aus, um bei der Fehlerbehebung zu helfen. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 115 Arbeiten mit Host Intrusion Prevention-Clients Übersicht Linux-Client Zweck Ausführung Abrufen des aktuellen Status des Clients, der angibt, hipts status welche Protokollierungsart aktiviert ist und welche Module ausgeführt werden. Aktivieren der Protokollierung bestimmter Nachrichtentypen. hipts logging on Deaktivieren der Protokollierung für alle Nachrichtentypen. hipts logging off Die Protokollierung ist standardmäßig deaktiviert. Anzeigen des angegebenen Nachrichtentyps, wenn die Protokollierung auf "on" gesetzt ist. Die Meldungen umfassen Folgendes: • Fehler • Warnung • Debug • Info • Verstöße hipts message <Meldungsname>:on Anzeigen des angegebenen Nachrichtentyps, wenn die hipts message <Meldungsname>:off Protokollierung auf "on" gesetzt ist. Die Fehlermeldung ist standardmäßig deaktiviert. Anzeigen aller Nachrichtentypen, wenn die Protokollierung hipts message all:on auf "on" gesetzt ist. Verbergen aller Nachrichtentypen, wenn die Protokollierung hipts message all:off auf "on" gesetzt ist. Aktivieren des angegebenen Moduls. Das Modul ist standardmäßig aktiviert. Die Module umfassen: • MISC • FILES • HTTP hipts message <Meldungsname>:on Deaktivieren des angegebenen Moduls. hipts message <Meldungsname>:off Aktivieren aller Module. hipts engines all:on Deaktivieren aller Module. hipts engines all:off TIPP: Zusätzlich zur Verwendung des Fehlerbehebungstools können Sie mit Hilfe der Dateien "HIPShield.log" und "HIPClient.log" im Verzeichnis "McAfee/hip/log" Vorgänge überprüfen oder Probleme nachverfolgen. Überprüfen der Linux-Installationsdateien Nach der Installation sollten Sie überprüfen, ob alle Dateien im richtigen Verzeichnis auf dem Client installiert wurden. Das Verzeichnis opt/McAfee/hip sollte die folgenden grundlegenden Dateien und Verzeichnisse enthalten: 116 Dateiname Beschreibung HipClient; HipClient-bin Linux-Client HipClientPolicy.xml Richtlinienregeln hipts; hipts-bin Fehlerbehebungstool *.so Gemeinsame Objektmodule von Host Intrusion Prevention und McAfee Agent McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Arbeiten mit Host Intrusion Prevention-Clients Übersicht Linux-Client Dateiname Beschreibung Protokollverzeichnis Enthält Debug- und Fehlerprotokolldateien Der Installationsverlauf wird in die Datei /opt/McAfee/etc/hip-install.log geschrieben. Lesen Sie in dieser Datei nach, wenn Sie Fragen zur Installation oder Entfernung des Host Intrusion Prevention-Clients haben. Überprüfen, ob der Linux-Client ausgeführt wird Wenn der Client beispielsweise in der ePO-Konsole nicht angezeigt wird, überprüfen Sie, ob der Client ausgeführt wird. Führen Sie hierzu den folgenden Befehl aus: ps –ef | grep hip Anhalten des Linux-Clients Bei der Fehlerbehebung muss eventuell ein ausgeführter Client angehalten und neu gestartet werden. Task 1 Um einen Client anzuhalten, deaktivieren Sie den IPS-Schutz. Verwenden Sie eine der folgenden Vorgehensweisen: • Stellen Sie die IPS-Optionen in der ePO-Konsole auf Aus, und wenden Sie die Richtlinie auf den Client an. 2 • Führen Sie folgenden Befehl aus: hipts engines MISC:off Führen Sie folgenden Befehl aus: hipts agent off Neustarten des Linux-Clients Bei der Fehlerbehebung muss eventuell ein ausgeführter Client angehalten und neu gestartet werden. Task 1 Führen Sie folgenden Befehl aus: hipts agent on. 2 Aktivieren Sie den IPS-Schutz. Verwenden Sie eine der folgenden Vorgehensweisen, je nachdem, welche Sie zum Anhalten des Clients verwendet haben: • Stellen Sie die IPS-Optionen in der ePO-Konsole auf Ein, und wenden Sie die Richtlinie auf den Client an. • Führen Sie folgenden Befehl aus: hipts engines MISC:on McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 117 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen In diesem Kapitel wird die Struktur von IPS-Signaturen beschrieben, einschließlich einer Liste der Klassen, Parameter und Richtlinien. Außerdem finden Sie hier Informationen zum Erstellen benutzerdefinierter Signaturen für die verschiedenen Client-Plattformen. Diese Informationen können auch verwendet werden, wenn Sie die Seite mit den erweiterten Details für Ausnahmen nutzen. Inhalt Regelstruktur Benutzerdefinierte Windows-Signaturen Benutzerdefinierte Nicht-Windows-Signaturen Regelstruktur Jede Signatur umfasst eine oder mehrere Regeln, die in der Syntax der ANSI-TCL-Sprache (Tool Command Language) geschrieben sind. Jede Regel enthält obligatorische und optionale Abschnitte, wobei jede Zeile einen Abschnitt enthält. Optionale Abschnitte sind vom Betriebssystem und der Regelklasse abhängig. Jeder Abschnitt definiert eine Regelkategorie und einen Wert. Ein Abschnitt bezeichnet stets die Regelklasse, die das gesamte Verhalten der Regel definiert. Die Grundstruktur einer Regel: Rule { AbschnittA Wert AbschnittB Wert AbschnittC Wert ... } HINWEIS: Beachten Sie unbedingt die Syntax für das Schreiben von Zeichenfolgen und Escape-Folgen in TCL, bevor Sie versuchen, benutzerdefinierte Regeln zu schreiben. Eine schnelle Überprüfung sämtlicher Standardreferenzen auf TCL sollte gewährleisten, dass Sie die richtigen Werte ordnungsgemäß eingeben. Eine Regel, die eine Anforderung an einen Web-Server verhindert, die "Betreff" in der HTTP-Anforderungsanfrage enthält, hat das folgende Format: Rule { Class Isapi Id 4001 118 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Regelstruktur level 4 query { Include *subject* } method { Include GET } time { Include * } Executable { Include * } user_name { Include * } directives isapi:request } Eine Erläuterung der verschiedenen Abschnitte und Werte finden Sie unter Benutzerdefinierte Windows-Signaturen und Benutzerdefinierte Nicht-Windows-Signaturen. Allgemeine Abschnitte Zu den häufigsten allgemeinen Abschnitten einer Regel und deren Werten gehören die nachfolgenden Elemente. Weitere Informationen zu den Abschnitten, die für den ausgewählten Klassenabschnitt relevant sind, finden Sie im entsprechenden Klassenabschnitt unter den benutzerdefinierten Windows- oder Nicht-Windows-Signaturen. Die Schlüsselwörter Include und Exclude werden für alle Abschnitte mit Ausnahme von "tag", "Id", "level" und "directives" verwendet. "Include" bedeutet, dass der Abschnitt für den angegebenen Wert gilt, und "Exclude" bedeutet, dass der Abschnitt für alle Werte mit Ausnahme des angegebenen Werts gilt. HINWEIS: Bei allen Abschnittsnamen auf allen Plattformen muss die Groß- und Kleinschreibung beachtet werden. Bei Abschnittswerten muss die Groß- und Kleinschreibung nur auf Nicht-Windows-Plattformen beachtet werden. Abschnitt Wert Class Abhängig vom Betriebssystem. Siehe Benutzerdefinierte Windows-Signaturen Gibt die Klasse an, für die diese oder Benutzerdefinierte Regel gilt. Nicht-Windows-Signaturen. tag Name der Regel in Anführungszeichen ("..."). Der Name der untergeordneten Regel. Id 4000 - 5999 Die einmalige ID-Nummer der Signatur. Diese Nummern sind für benutzerdefinierte Regeln verfügbar. level 0 Beschreibung Der Schweregrad der Signatur: 1 0 = Deaktiviert 2 1 = Protokoll 3 2 = Niedrig 4 3 = Mittel 4 = Hoch user_name {Include/Exclude für Benutzername oder Systemkonto} Die Benutzer, für die diese Regel gilt. Legen Sie bestimmte oder alle Benutzer fest. Anmerkungen für Windows: • Für lokale Benutzer: Verwenden Sie <computername>/<lokaler benutzername>. • Für Domänenbenutzer: Verwenden Sie <domänenname>/<domänenbenutzername>. • Für lokales System: Verwenden Sie "Lokal/System". McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 119 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Regelstruktur Abschnitt Wert Beschreibung • Ausführbare Datei {Include/Exclude für Dateinamenpfad, Fingerprint, Unterzeichner oder Beschreibung} Einige extern initiierte Aktionen nennen nicht die ID des externen Benutzers, sondern benutzen den lokalen Dienst und dessen Benutzerkontext. Sie müssen beim Entwickeln von Regeln eine entsprechende Planung vornehmen. Wenn ein Prozess im Kontext einer "Nullsitzung" vorkommt, sind Benutzer und Domäne "anonym". Wenn eine Regel für alle Benutzer gilt, verwenden Sie *. Unter UNIX muss für diesen Abschnitt die Groß- und Kleinschreibung beachtet werden. Jede ausführbare Datei wird in den Klammern mithilfe von "-path", "-hash", "-sdn", "-desc" angegeben. Für jeden Abschnitt können mehrere Klammern verwendet werden und innerhalb der Klammern können eine oder mehrere Optionen enthalten sein. Die Werte "-path" (Dateipfadname), "-sdn" (Dateiunterzeichner) und "-desc" (Dateibeschreibung) sind Zeichenfolgen und müssen mit einer TCL-Escape-Zeichenfolge angegeben werden, wenn sie Leerzeichen enthalten, oder für TCL vorbehaltene Zeichen aufweisen. Bei dem Wert "-hash" (MD5-Hash) handelt es sich um eine 32-stellige Hexbin-Zeichenfolge. Beispiel: Executable {Include -path "C:\\Program Files\\McAfee\\VirusScan Enterprise\\Mcshield.exe" -sdn "CN=\"mcafee,inc.\", OU=iss, OU=digital id class 3 - microsoft software validation v2, O=\"mcafee, inc.\", L=santa clara, ST=california, C=us" -desc "On-Access Scanner service"} Wenn eine Regel für alle ausführbaren Dateien gilt, verwenden Sie *. Unter UNIX muss für diesen Abschnitt die Groß- und Kleinschreibung beachtet werden. directives Operationstyp Die Operationstypen sind klassenabhängig und werden in den nachfolgenden Abschnitten für jede Klasse aufgelistet. HINWEIS: Sie können eine Signatur mit mehreren Regeln erstellen, indem Sie die Regeln nacheinander hinzufügen. Beachten Sie, dass jede Regel in derselben Signatur denselben Wert für die Abschnitte "id" und "level" haben muss. Verwendung von "Include" und "Exclude" Wenn Sie einen Abschnittswert als "Include" markieren, gilt der Abschnitt für den angegebenen Wert. Wenn Sie einen Abschnittswert als "Exclude" markieren, gilt der Abschnitt für alle Werte mit Ausnahme des angegebenen. Wenn Sie diese Schlüsselwörter verwenden, sind sie in Klammern eingeschlossen { ... }. HINWEIS: Bei der untergeordneten Standardregel verwenden Sie für Dateipfade einen einfachen umgekehrten Schrägstrich; für die untergeordnete Exportregel müssen doppelte umgekehrte Schrägstriche verwendet werden. Bei der untergeordneten Standardregel werden die einfachen umgekehrten Schrägstriche in die erforderlichen doppelten umgekehrten Schrägstriche übersetzt. Um z. B. alle Textdateien unter "C:\test\" zu überwachen: 120 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Regelstruktur files { Include C:\\test\\*.txt } und um alle Dateien mit Ausnahme der Textdateien unter "C:\test\" zu überwachen: files { Exclude C:\\test\\*.txt } Kombinieren Sie die Schlüsselwörter, um Werte aus einem Satz von eingeschlossenen Werten auszuschließen. Um alle Textdateien im Ordner "C:\test\" mit Ausnahme der Datei "abc.txt" zu überwachen: files { Include C:\\test\\*.txt } files { Exclude C:\\test\\abc.txt } Bei jedem Hinzufügen desselben Abschnitts mit demselben Schlüsselwort fügen Sie eine Operation hinzu. Um beliebige Textdateien im Ordner "C:\test\" zu überwachen, deren Name mit der Zeichenfolge "abc" beginnt: files { Include C:\\test\\*.txt } files { Include C:\\test\\abc* } HINWEIS: In der Rangfolge hat "exclude" Vorrang gegenüber "include". Hier sind drei Beispiele: • Wenn eine untergeordnete Regel einen bestimmten Benutzer marketing\jjohns einschließt und denselben Benutzer marketing\jjohns ausschließt, wird die Signatur nicht ausgelöst, selbst wenn der Benutzer marketing\jjohns eine Aktion ausführt, mit der die Signatur ausgelöst wird. • Wenn eine untergeordnete Regel alle Benutzer einschließt, den Benutzer marketing\jjohns jedoch ausschließt, wird die Signatur ausgelöst, wenn der Benutzer NICHT marketing\jjohns lautet. • Wenn eine untergeordnete Regel einen Benutzer marketing\* einschließt, den Benutzer marketing\jjohns jedoch ausschließt, wird die Signatur nur ausgelöst, wenn der Benutzer marketing\anyone lautet; bei marketing\jjohns wird sie nicht ausgelöst. Optionale allgemeine Abschnitte Zu den optionalen Abschnitten einer Regel und deren Werten gehören die nachfolgenden Elemente. Weitere Informationen zu den optionalen Abschnitten, die für den ausgewählten Klassenabschnitt relevant sind, finden Sie im entsprechenden Klassenabschnitt unter den benutzerdefinierten Windows- oder Nicht-Windows-Signaturen. Die Schlüsselwörter Include und Exclude werden sowohl für Abhängigkeiten als auch für Attribute verwendet. "Include" bedeutet, dass der Abschnitt für den angegebenen Wert gilt, und "Exclude" bedeutet, dass der Abschnitt für alle Werte mit Ausnahme des angegebenen Werts gilt. Abschnitt Wert Beschreibung dependencies {Include/Exclude "ID einer Regel"} Definiert Abhängigkeiten zwischen Regeln und verhindert das Auslösen von abhängigen Regeln. attributes —no_log Ereignisse der Signatur werden nicht an den ePO-Server gesendet. —not_auditable Es werden keine Ausnahmen für die Signatur erstellt, wenn der adaptive Modus angewendet wird. —no_trusted_apps Die Liste der vertrauenswürdigen Anwendungen gilt für diese Signatur nicht. —inactive Die Signatur ist deaktiviert. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 121 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Regelstruktur Verwenden des Abschnitts "dependencies" Fügen Sie den optionalen Abschnitt "dependencies" hinzu, um zu verhindern, dass eine allgemeinere Regel zusammen mit einer spezifischeren Regel ausgelöst wird. Wenn es beispielsweise nur eine zu überwachende Regel für eine einzelne Textdatei unter "C:\test\" gibt files { Include C:\\test\\abc.txt } sowie eine Regel zum Überwachen aller Textdateien unter "C:\test\" files { Include C:\\test\\*.txt } Fügen Sie den Abschnitt "dependencies" der spezifischeren Regel hinzu. Dieser Abschnitt teilt dem System im Wesentlichen mit, dass keine allgemeinere Regel ausgelöst wird, wenn die spezifischere Regel ausgelöst wird. files { Include C:\\test\\abc.txt } dependencies "the general rule" Platzhalter und Variablen Platzhalter, Metasymbole und vordefinierte Variablen können als Wert in den verfügbaren Abschnitten verwendet werden. Platzhalter Sie können Platzhalter für die Abschnittswerte verwenden. Beachten Sie die geringfügig andere Verwendung von Sternchen für Pfade und Adressen, in denen normalerweise Schrägstriche oder umgekehrte Schrägstriche enthalten sind. Für untergeordnete Expertenregeln für Signaturen wird das TCL-Platzhalterschema verwendet. Tabelle 22: Platzhalter Zeichen Bedeutung ? (Fragezeichen) Ein einzelnes Zeichen * (Sternchen) Mehrere Zeichen, einschließlich "/" und "\". HINWEIS: Bei Pfaden und Adressen müssen Sie "**" (zwei Sternchen) verwenden, um "/" und "\" einzuschließen bzw. "*" (ein Sternchen) verwenden, um "/" und "\" auszuschließen. | (Pipe-Zeichen) Platzhalter-Escape-Zeichen Tabelle 23: TCL-Platzhalter Zeichen Bedeutung ? (Fragezeichen) Ein einzelnes Zeichen * (Sternchen) Mehrere Zeichen, einschließlich "/" und "\". Beispiel: files { Include "C:\*.txt" " } & (kaufmännisches "Und" [Ampersand]) Mehrere Zeichen mit Ausnahme von "/" und "\". Wird als Entsprechung der Stammebene eines Ordners mit Ausnahme der Unterordner verwendet. Beispiel: files { Include "C:\test\\&.txt" } ! (Ausrufezeichen) Platzhalter-Escape-Zeichen Beispiel: files { Include "C:\test\\yahoo!.txt" } 122 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Regelstruktur Verwenden von Umgebungsvariablen Verwenden Sie Umgebungsvariablen und den Befehl "iEnv" mit einem Parameter (dem Variablennamen) in eckigen Klammern [ ... ] als schnelle Möglichkeit, um Windows-Datei- und -Verzeichnispfadnamen einzugeben. Umgebungsvariable Bedeutung iEnv SystemRoot "C:\winnt\", wobei "C" das Laufwerk mit dem Windows-Systemordner ist. Beispiel: files {Include [iEnv SystemRoot]\\system32\\abc.txt } iEnv SystemDrive "C:\", wobei "C" das Laufwerk mit dem Windows-Systemordner ist. Beispiel: files {Include [iEnv SystemDrive]\\system32\\abc.txt} Verwenden von vordefinierten Variablen Host Intrusion Prevention enthält vordefinierte Variablen für das Schreiben von Regeln. Diesen Variablen wird "$" vorangestellt; sie sind nachfolgend aufgeführt. Tabelle 24: Windows IIS Web Server Variable Beschreibung IIS_BinDir Verzeichnis, in dem sich die Datei "inetinfo.exe" befindet IIS_Computer Name des Computers, auf dem IIS ausgeführt wird IIS_Envelope Beinhaltet alle Dateien, auf die IIS zugreifen kann IIS_Exe_Dirs Virtuelle Verzeichnisse, die die Ausführung der Dateien zulassen, einschließlich des Systemstammverzeichnisses und des IIS-Stammverzeichnisses IIS_Ftp_Dir Stammverzeichnisse der FTP-Site IIS_FTP_USR Kontoname des anonymen Benutzers des lokalen FTP-Servers IIS_FtpLogDir FTP-Protokolldateienverzeichnis IIS_IUSR Kontoname des anonymen Benutzers des lokalen Web-Servers IIS_IUSRD Kontoname des anonymen Benutzers des Domänen-Web-Servers IIS_IWAM Kontoname des IIS Web Application Manager-Benutzers IIS_LogFileDir Web-Protokolldateienverzeichnis IIS_LVirt_Root Alle virtuellen IIS-Verzeichnisse IIS_Processes Prozesse mit Zugriffsrechten auf IIS-Ressourcen IIS_Services Alle Dienste, die erforderlich sind, damit IIS ordnungsgemäß ausgeführt werden kann Tabelle 25: MS SQL-Datenbankserver Variable Beschreibung MSSQL_Allowed_Access_Paths Verzeichnisse, wie "\WINNT" und "\WINNT\System32", auf die zugegriffen werden kann MSSQL_Allowed_Execution_Paths Verzeichnisse, wie "\WINNT" und "\WINNT\System32", die ausgeführt werden können McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 123 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Regelstruktur Variable Beschreibung MSSQL_Allowed_Modification_Paths Verzeichnisse, wie "\WINNT\Temp", die bearbeitet werden können MSSQL_Auxiliary_Services Die zusätzlichen im System vorhandenen MS SQL-Dienste MSSQL_Core_Services Die zentralen MS SQL-Dienste, die im System vorhanden sind MSSQL_Data_Paths Alle anderen Datendateien, die mit MS SQL in Verbindung stehen und sich außerhalb des Verzeichnisses "MSSQL_DataRoot_Path" befinden MSSQL_DataRoot_Paths Der Pfad zu den jeweiligen MS SQL-Dateien für jede Instanz MSSQL_Instances Der Name jeder installierten MS SQL-Instanz MSSQL_Registry_Paths Alle Registrierungsverzeichnisse, die mit MS SQL verknüpft sind Tabelle 26: Unix Apache und iPlanet 124 Variable Beschreibung UAPACHE_Bins Pfad zu den Apache-Binärdateien UAPACHE_CgiRoots Pfad zu den CGI-Stammverzeichnissen UAPACHE_ConfDirs Verzeichnisse, die die Apache-Konfigurationsdateien enthalten UAPACHE_DocRoots Pfad zu den Dokumentstammverzeichnissen UAPACHE_Logs Apache-Protokolldateien UAPACHE_Logs_dir Protokolldateiverzeichnis UAPACHE_Roots Apache-Web-Stamm-Dateien UAPACHE_Users Benutzer, die Apache ausführen als UAPACHE_VcgiRoots Pfad zu den CGI-Stammverzeichnissen von virtuellen Servern UAPACHE_VdocRoots Virtuelle Dokumentstammverzeichnisse UAPACHE_Vlogs Protokolldateien der virtuellen Server UAPACHE_Vlogs_dir Verzeichnisse für die Protokolldateien der virtuellen Server UIPLANET_BinDirs Pfad zu den iPlanet-Binärdateien UIPLANET_CgiDirs Pfad zu den CGI-Verzeichnissen UIPLANET_DocDirs Pfad zu den Dokumentverzeichnissen UIPLANET_Process Pfad zur iPlanet ns-httpd-Binärdatei UIPLANET_Roots Pfad zu den iPlanet-Stammverzeichnissen McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Windows-Signaturen Benutzerdefinierte Windows-Signaturen In diesem Abschnitt wird beschrieben, wie Sie benutzerdefinierte Signaturen für die Windows-Plattform erstellen. HINWEIS: Regeln in den Windows-Class-Dateien verwenden doppelte umgekehrte Schrägstriche für Pfade, Regeln in der Nicht-Windows-Klasse "UNIX_file" verwenden einen einzelnen Schrägstrich. Die von der Signatur verwendete Klasse hängt von der Art des Sicherheitsproblems ab und vom Schutz, den die Signatur bieten kann. Einige Klassen und Parameter werden in der Benutzeroberfläche der benutzerdefinierten Signatur angezeigt, andere hingegen nicht. Auf Klassen und Parameter ohne Benutzeroberfläche kann nur mithilfe des Expertenverfahrens zur Regelerstellung zugegriffen werden. Für Windows sind die folgenden Klassen verfügbar: Klasse Verwendung Buffer Overflow Zum Schutz vor Buffer Overflow Files Zum Schutz für Datei- oder Verzeichnisoperationen Hook Zum Schutz für API-Prozess-Hooks Illegal API Use Zum Schutz vor einer unbefugten Benutzung der Host IPS-API Illegal Use Zum Schutz vor einer unbefugten Benutzung der API Isapi Für die Überwachung von HTTP-Anforderungen an IIS Program Zum Schutz für Programmvorgänge Registry Zum Schutz von Registrierungsschlüssel und Registrierungsschlüsselvorgängen Services Zum Schutz für Dienstvorgänge SQL Zum Schutz für SQL-Operationen Windows-Klasse "Buffer Overflow" In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "Buffer Overflow" aufgeführt: Abschnitt Werte Class Buffer_Overflow Id Siehe Allgemeine Abschnitte. Hinweise level time user_name Executable dependencies 428 caller module Pfad zu einem Modul (d. h. zu einer DLL), das von einer ausführbaren Datei geladen wird, die einen Aufruf vornimmt, der zu einem Buffer Overflow führt. Optional. Siehe Hinweis 1. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 125 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Windows-Signaturen Abschnitt Werte Hinweise directives bo:stack Ermittelt die Speicherposition, an der die Ausführung erfolgt, und ermittelt, ob diese auf einem beschreibbaren Speicher ausgeführt wird, der Teil des aktuellen Thread-Stapels ist. bo:heap Ermittelt die Speicherposition, an der die Ausführung erfolgt, und ermittelt, ob diese auf einem beschreibbaren Speicher ausgeführt wird, der Teil eines Heaps ist. bo:writeable_memory Ermittelt die Speicherposition, an der die Ausführung erfolgt, und ermittelt, ob diese auf einem beschreibbaren Speicher ausgeführt wird, der nicht Teil des aktuellen Thread-Stapels oder eines Heaps ist. bo:invalid_call Überprüft, dass eine API über eine gültige Aufrufanweisung aufgerufen wird. bo:target_bytes Eine Hexadezimalzeichenfolge mit 32 Bytes Anweisungen, mit denen eine Zielausnahme für einen falsch positiven Wert erstellt werden kann, ohne dass der Buffer Overflow für den gesamten Prozess deaktiviert werden muss. bo:call_not_found Überprüft, dass die Codefolge vor der Adressrückgabe kein Aufruf ist. bo:call_return_unreadable Überprüft, dass Rückgabeadresse kein lesbarer Speicher ist. bo:call_different_target_address Überprüft, dass Aufrufziel und Hook-Ziel nicht identisch sind. bo:call_return_to_api Überprüft, ob die Rückgabeadresse ein API-Einstiegspunkt ist. Hinweis 1 Signatur 428, Allgemeiner Buffer Overflow, ist eine generische Buffer Overflow-Regel. Um zu vermeiden, dass diese Regel ausgelöst wird, müssen Sie den Abschnitt "dependencies 428" in die benutzerdefinierte Signatur einbinden. Windows-Klasse "Files" In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "Files" aufgeführt: Abschnitt Werte Class Files Id Siehe Allgemeine Abschnitte. Hinweise level time user_name Executable (Verwenden Sie diesen Parameter für die Unterscheidung zwischen 126 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Windows-Signaturen Abschnitt Werte Hinweise Remote- und lokalem Dateizugriff. Siehe Hinweis 3). files An der Operation beteiligte Datei Einer der erforderlichen Parameter. Siehe Hinweise oder Ordner 1 und 2. dest_file Zieldateien, wenn an der Operation Ursprungs- und Zieldateien beteiligt sind. Einer der erforderlichen Parameter. Wird nur mit "files:rename" und "files:hardlink" verwendet. Siehe Hinweise 1 und 2. drive_type • Network – Netzwerkdateizugriff • Floppy – Diskettenlaufwerkzugriff Ermöglicht die Erstellung von spezifischen für die jeweiligen Laufwerktypen geeigneten Dateiklassenregeln. • CD – CD- oder DVD-Zugriff • OtherRemovable – Zugriff über USB- oder anderes Wechsellaufwerk • OtherFixed – Zugriff über lokales oder anderes festes Festplattenlaufwerk directives files:create Erstellt eine Datei in einem Verzeichnis oder verschiebt die Datei in ein anderes Verzeichnis. files:read Öffnet eine Datei mit schreibgeschütztem Zugriff. files:write Öffnet eine Datei mit Lese- und Schreibzugriff. files:execute Führt die Datei aus (Ausführen eines Verzeichnisses bedeutet, dass dieses Verzeichnis zum aktuellen Verzeichnis wird). files:delete Löscht die Datei aus einem Verzeichnis oder verschiebt sie in ein anderes Verzeichnis. files:rename Benennt eine Datei im selben Verzeichnis um. Siehe Hinweis 2. files:attribute Ändert die Dateiattribute. Zu den überwachten Attributen zählen: files:hardlink • read-only • hidden • archive • system Erstellt einen festen Link. Hinweis 1 Wenn der Abschnitt "files" verwendet wird, kann der Pfad zu einem überwachten Ordner entweder ein vollständiger Pfad oder ein Platzhalter sein. Bei den folgenden Beispielen handelt es sich um gültige Pfaddarstellungen: files { Include "C:\\test\\abc.txt" } files { Include "*\\test\\abc.txt" } files { Include "*\\abc.txt" } McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 127 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Windows-Signaturen Wenn der Abschnitt dest_files verwendet wird, kann der absolute Pfad nicht verwendet werden und ein Platzhalter muss am Beginn des Pfades vorhanden sein, um das Laufwerk darzustellen. Bei den folgenden Beispielen handelt es sich um gültige Pfaddarstellungen: dest_file { Include "*\\test\\abc.txt" } dest_file { Include "*\\abc.txt" } Hinweis 2 Die Richtlinie files:rename hat eine andere Bedeutung, wenn sie mit Abschnitt "files" und Abschnitt "dest_file" kombiniert wird. In Kombination mit dem Abschnitt "files" bedeutet sie, dass die Umbenennung der Datei im Abschnitt "files" überwacht wird. Die folgende Regel überwacht z. B. das Umbenennen der Datei "C:\test\abc.txt" auf einen anderen Namen: Rule { tag "Sample1" Class Files Id 4001 level 4 files { Include "C:\\test\\abc.txt" } Executable { Include "*" } user_name { Include "*" } directives files:rename } In Kombination mit dem Abschnitt "dest_file" bedeutet sie, dass keine Datei in die Datei im Abschnitt "dest_file" umbenannt werden kann. Die folgende Regel überwacht z. B. das Umbenennen einer beliebigen Datei in "C:\test\abc.txt": Rule { tag "Sample2" Class Files Id 4001 level 4 dest_file { Include "*\\test\\abc.txt" } Executable { Include "*" } user_name { Include "*" } directives files:rename } Der Abschnitt "files" ist nicht obligatorisch, wenn der Abschnitt "dest_file" verwendet wird. Wenn der Abschnitt "files" verwendet wird, müssen die beiden Abschnitte "files" und "dest_file" übereinstimmen. Hinweis 3 Für die Unterscheidung zwischen Remote- und lokalem Dateizugriff für die einzelnen Richtlinien müssen Sie den Dateinamen für die ausführbare Datei auf "SystemRemoteClient" festlegen: Executable { Include -path "SystemRemoteClient" } 128 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Windows-Signaturen Damit wird die Ausführung der Richtlinie verhindert, wenn die ausführbare Datei nicht lokal vorliegt. Erweiterte Details Einige oder alle der folgenden Parameter werden in der Registerkarte "Erweiterte Details" von Sicherheitsereignissen für die Klasse "Files" angezeigt. Die Werte dieser Parameter können verdeutlichen, weshalb eine Signatur ausgelöst wird. GUI-Name Erklärung files Name der Datei, auf die ein Zugriff erfolgte. dest_file Gilt nur beim Umbenennen von Dateien. Neuer Name, auf den die Datei geändert wurde. Die folgende Regel würde verhindern, dass ein Benutzer oder ein Prozess die Datei abc.txt im Ordner "C:\test\" erstellt. Rule { tag "Sample3" Class Files Id 4001 level 4 files { Include "C:\\test\\abc.txt" } Executable { Include "*" } user_name { Include "*" } directives files:create } Die verschiedenen Abschnitte dieser Regel haben die folgende Bedeutung: • Class Files: Gibt an, dass diese Regel für die Dateioperationsklasse gilt. • id 4001: Weist die ID 4001 dieser Regel zu. Wenn für eine benutzerdefinierte Signatur mehrere Regeln gelten, müsste jede dieser Regeln dieselbe ID verwenden. • level 4: Weist der Regel die Sicherheitsebene "Hoch" zu. Wenn für eine benutzerdefinierte Signatur mehrere Regeln gelten, müsste jede dieser Regeln dieselbe Ebene verwenden. • files { Include "C:\\test\\abc.txt" }: Gibt an, dass diese Regel die bestimmte Datei und den Pfad "C:\test\abc.txt" abdeckt. Wenn eine Regel mehrere Dateien abdecken soll, müssten sie in diesem Abschnitt in anderen Zeilen hinzugefügt werden. Beispiel: Zum Überwachen der Dateien "C:\test\abc.txt" und "C:\test\xyz.txt" ändert sich der Abschnitt in: files { Include "C:\\test\\abc.txt" "C:\\test\\xyz.txt" }. • Executable { Include "*" } Gibt an, dass diese Regel für alle Prozesse gilt. Wenn Sie die Regel auf bestimmte Prozesse beschränken möchten, müssen sie hier mit ihrem vollständigen Pfadnamen ausgedrückt werden. • user_name { Include "*" }: Gibt an, dass diese Regel für alle Benutzer gilt (oder genauer gesagt, den Sicherheitskontext, in dem ein Prozess ausgeführt wird). Wenn Sie die Regel auf bestimmte Benutzerkontexte beschränken möchten, müssen diese hier in der Form "Lokal/Benutzer" oder "Domäne/Benutzer" ausgedrückt werden. Informationen siehe Allgemeine Abschnitte. • directives files:create Gibt an, dass diese Regel die Erstellung einer Datei abdeckt. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 129 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Windows-Signaturen Windows-Klasse "Hook" In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "Hook" aufgeführt: Abschnitt Werte Class Hook Id Siehe Allgemeine Abschnitte. Hinweise level time user_name Executable handler module Pfadname der ausführbaren Datei, die von einer anderen ausführbaren Datei eingeklinkt wird. Ein erforderlicher Parameter. directives hook:set_windows_hook Um die Einschleusung einer DLL in eine ausführbare Datei bei der Verwendung von "hook:set_windows_hook" zu verhindern, müssen Sie die ausführbare Datei in die Anwendungsschutzliste einbinden. Windows-Klasse "Illegal Host IPS API Use" In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "Illegal API Use" aufgeführt: Abschnitt Werte Class Illegal_API_Use Id Siehe Allgemeine Abschnitte. Hinweise level time user_name Executable vulnerability_name Name der Schwachstelle. detailed_event_info Eine oder mehrere CLSIDs. directives illegal_api_use:bad_parameter Dies ist eine 128-Bit-Zahl, die eine eindeutige ID einer Softwarekomponente darstellt. Normalerweise wie folgt angezeigt: "{FAC7A6FB-0127-4F06-9892-8D2FC56E3F76}" illegal_api_use:invalid_call Verwenden Sie diese Klasse, um eine benutzerdefinierte Killbit-Signatur zu erstellen. Das Killbit ist ein Sicherheits-Feature in Web-Browser und anderen Anwendungen, die ActiveX verwenden. Mit dem Killbit wird die Objektklassenkennung (CLSID) für ActiveX-Software-Steuerelemente angegeben, die als Sicherheitslücken/Schwachstellen ermittelt werden. Anwendungen, die 130 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Windows-Signaturen ActiveX verwenden, laden keine angegebene ActiveX-Software mit einem entsprechend vorhandenen Killbit. Der Hauptzweck eines Killbits besteht darin, Sicherheitslücken zu schließen. Killbit-Updates für Microsoft Windows-Betriebssysteme werden normalerweise über Windows-Sicherheitsupdates bereitgestellt. Im Folgenden sehen Sie ein Beispiel für eine Signatur: Rule { tag "Sample4" Class Illegal_API_Use Id 4001 level 4 Executable { Include "*" } user_name { Include "*" } vulnerability_name {Include "Vulnerable ActiveX Control Loading ?"} detailed_event_info { Include "0002E533-0000-0000-C000-000000000046"\"0002E511-0000-0000-C000-000000000046"} directives files:illegal_api_use:bad_parameter illegal_api_use:invalid_call attributes -not_auditable } Windows-Klasse "Illegal Use" In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "Illegal Use" aufgeführt: Abschnitt Werte Class Illegal_Use Id Siehe Allgemeine Abschnitte. Hinweise level time user_name Executable name Einer von drei möglichen Werten: LsarLookupNames, LsarLookupSids oder ADMCOMConnect directives illegal:api Windows-Klasse "Isapi" (HTTP) In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "Isapi" mit IIS aufgeführt: McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 131 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Windows-Signaturen Abschnitt Werte Class Isapi Id Siehe Allgemeine Abschnitte. Hinweise level time user_name Executable url Einer der erforderlichen Parameter. Wird mit dem URL-Teil einer eingehenden Anforderung verglichen. Siehe Hinweise 1–4. query Einer der erforderlichen Parameter. Vergleicht mit dem Abfrageteil einer eingehenden Anforderung. Siehe Hinweise 1–4. method GET, POST, INDEX bzw. jegliche Einer der erforderlichen Parameter. Siehe Hinweis andere zulässige HTTP-Methode. 4. directives isapi:request Für alle drei Typen eingehender HTTP-Anforderungen. isapi:requrl Für URL-Anforderungen. isapi:reqquery Für Abfrageanforderungen. isapi:rawdata Für Rohdatenanforderungen. isapi:response Für Anforderungsantworten. Hinweis 1 Eine eingehende HTTP-Anforderung kann dargestellt werden als: http://www.eigenerserver.de/ {url}?{query}. In diesem Dokument gilt {url} als der "URL"-Teil der HTTP-Anforderung und {query} als der "Query"-Teil der HTTP-Anforderung. Mit dieser Namenskonvention kann definiert werden, dass der Abschnitt "URL" abgeglichen wird mit {url} und der Abschnitt "query" abgeglichen wird mit {query}. Beispielsweise würde die folgende Regel ausgelöst, wenn die HTTP-Anforderung "http:// www.eigenerserver.de/search/abc.exe?subject=wildlife&environment=ocean" durch IIS empfangen würde: Rule { tag "Sample6" Class Isapi Id 4001 level 1 url { Include "*abc*" } Executable { Include "*" } user_name { Include "*" } directives isapi:request } Diese Regel wird ausgelöst, weil {url} = /search/abc.exe ist, was dem Wert des Abschnitts "url" entspricht (d. h. abc). 132 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Windows-Signaturen Hinweis 2 Bevor der Abgleich durchgeführt wird, werden die Abschnitte "url" und "query" dekodiert und normalisiert, sodass Anforderungen nicht mit Kodierungs- oder Escape-Folgen gefüllt werden können. Hinweis 3 Eine Beschränkung für die maximale Länge kann für die Abschnitte "url" und "query" festgelegt werden. Durch Hinzufügen von ";number-of-chars" zum Wert dieser Abschnitte kann diese Regel nur abgeglichen werden, wenn {url} oder {query} aus mehr Zeichen besteht als "number-of-chars". Beispielsweise entspricht "abc*;500" Zeichenfolgen mit "abc", die mind. 500 Zeichen umfassen; "*abc;xyz*;" entspricht einer beliebigen Zeichenfolge "mit abc;xyz", unabhängig von ihrer Länge. Hinweis 4 Eine Regel muss mindestens eine der optionalen Abschnitte "url", "query" und "method" enthalten. Erweiterte Details Einige oder alle der folgenden Parameter werden in der Registerkarte "Erweiterte Details" von Sicherheitsereignissen für die Klasse "Isapi" angezeigt. Die Werte dieser Parameter können verdeutlichen, weshalb eine Signatur ausgelöst wird. GUI-Name Erklärung url Dekodierter und normalisierter Adressteil einer eingehenden HTTP-Anforderung (der Teil vor dem "?"). query Dekodierter und normalisierter Anforderungsteil einer eingehenden HTTP-Anfrage (der Teil nach dem ersten "?"). web server type Typ und Version der verwendeten Web-Server-Anwendung. method Methode einer eingehenden HTTP-Anforderung (wie "Get", "Put", "Post" und "Query"). local file Physischer Name der Datei, für die ein Abruf durch die Anforderung durchgeführt oder versucht wird. Unter IIS dekodiert und normalisiert. raw url "Raw" (weder dekodierte noch normalisierte) Anforderungszeile der eingehenden HTTP-Anforderung. Anforderungszeile ist "<Methode> <Adresse[?query]> <HTTP-Version> CRLF". user Benutzername des Client, der die Anforderung durchführt; nur verfügbar, wenn die Anforderung authentifiziert ist. source Client-Name oder IP-Adresse des Computers, von dem die HTTP-Anforderung stammt. Die Adresse enthält drei Teile: Host-Name: Adresse: Portnummer. Server Daten über den Web-Server, auf dem das Ereignis erstellt wird (das Gerät, auf dem der Client installiert ist) in der Form "<Hostname>:<IP-Adresse>:<Port>". Der Hostname ist die Host-Variable aus der HTTP-Kopfzeile. Er bleibt leer, wenn er nicht verfügbar ist. content len Anzahl der Bytes im Fließtext des Mitteilungsabschnitts der Anforderung. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 133 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Windows-Signaturen Die folgende Regel würde eine Anforderung an den Web-Server verhindern, die "subject" (Betreff) im Abfrageteil der HTTP-Anforderung enthält: Rule { tag "Sample7" Class Isapi Id 4001 level 1 query { Include "*subject*" } method { Include "GET" } Executable { Include "*" } user_name { Include "*" } directives isapi:request } Beispielsweise würde die GET-Anforderung "http://www.eigenerserver.de/test/ abc.exe?subject=wildlife&environment=ocean" durch diese Regel verhindert. Die verschiedenen Abschnitte dieser Regel haben die folgende Bedeutung: • Class Isapi: Gibt an, dass diese Regel für die Isapi-Operationsklasse gilt. • Id 4001: Weist dieser Regel die ID 4001 zu. Wenn für eine benutzerdefinierte Signatur mehrere Regeln gelten, müsste jede dieser Regeln dieselbe ID verwenden. • level 4: Weist der Regel die Sicherheitsebene "Hoch" zu. Wenn für eine benutzerdefinierte Signatur mehrere Regeln gelten, müsste jede dieser Regeln dieselbe Ebene verwenden. • query { Include "*subject*" }: Gibt an, dass die Regel mit einer beliebigen (GET)-Anforderung übereinstimmt, die die Zeichenfolge "subject" im Abfrageteil der HTTP-Anforderung enthält. Wenn die Regel mehrere Anforderungsteildateien abdecken soll, müssen Sie diese in diesem Abschnitt in anderen Zeilen hinzufügen. • method { Include "GET" }: Gibt an, dass die Regel nur GET-Anforderungen abgleichen kann. • Executable { Include "*" } Gibt an, dass diese Regel für alle Prozesse gilt. Wenn Sie die Regel auf bestimmte Prozesse beschränken möchten, müssen sie hier mit ihrem vollständigen Pfadnamen ausgedrückt werden. • user_name { Include "*" }: Gibt an, dass diese Regel für alle Benutzer gilt (oder genauer gesagt, den Sicherheitskontext, in dem ein Prozess ausgeführt wird). Wenn Sie die Regel auf bestimmte Benutzerkontexte beschränken möchten, müssen diese hier in der Form "Lokal/Benutzer" oder "Domäne/Benutzer" ausgedrückt werden. Informationen siehe Allgemeine Abschnitte. • directives isapi:request: Gibt an, dass diese Regel eine HTTP-Anforderung abdeckt. Windows-Klasse "Program" In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "Program" aufgeführt: 134 Abschnitt Werte Class Program Id Siehe Allgemeine Abschnitte. Hinweise McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Windows-Signaturen Abschnitt Werte Hinweise filename Name des Prozesses in der Operation. Einer der erforderlichen Parameter. path Pfadname des Prozesses. Einer der erforderlichen Parameter. directives program:run Auswählen, um die Ausführung einer ausführbaren Zieldatei zu verhindern. (Ausführen der ausführbaren Zieldatei in der Benutzeroberfläche) program:open_with_any Die Richtlinien "program:open_with_x" behandeln die Prozesszugriffsrechte, die mit "OpenProcess()" erstellt wurden. Auswählen, um die prozessspezifischen Zugriffsrechte zu verhindern: level time user_name Executable • PROCESS_TERMINATE – Zum Beenden eines Prozesses erforderlich. • PROCESS_CREATE_THREAD – Zum Erstellen eines Threads erforderlich. • PROCESS_VM_WRITE – Zum Schreiben in den Speicher erforderlich. • PROCESS_DUP_HANDLE – Zum Duplizieren eines Handles erforderlich. • PROCESS_SET_INFORMATION – Zum Festlegen bestimmter Informationen zu einem Prozess (z. B. der Prioritätsklasse) erforderlich. • PROCESS_SUSPEND_RESUME – Zum Aussetzen oder Fortsetzen eines Prozesses erforderlich. • PROCESS_TERMINATE – Zum Beenden eines Prozesses erforderlich. • SYNCHRONIZE – Zum Warten auf das Beenden eines Prozesses erforderlich. (Mit sämtlichen Berechtigungen aufrufen, in der Benutzeroberfläche) program:open_with_create_thread Auswählen, um das prozessspezifische Zugriffsrecht zu verhindern: • PROCESS_CREATE_THREAD – Zum Erstellen eines Threads erforderlich. (Mit Berechtigung zum Erstellen eines Threads aufrufen, in der Benutzeroberfläche) program:open_with_modify Auswählen, um die prozessspezifischen Zugriffsrechte zu verhindern: • PROCESS_TERMINATE – Zum Beenden eines Prozesses erforderlich. • PROCESS_CREATE_THREAD – Zum Erstellen eines Threads erforderlich. • PROCESS_VM_WRITE – Zum Schreiben in den Speicher erforderlich. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 135 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Windows-Signaturen Abschnitt Werte Hinweise • PROCESS_DUP_HANDLE – Zum Duplizieren eines Handles erforderlich. • PROCESS_SET_INFORMATION – Zum Festlegen bestimmter Informationen zu einem Prozess (z. B. der Prioritätsklasse) erforderlich. • PROCESS_SUSPEND_RESUME – Zum Aussetzen oder Fortsetzen eines Prozesses erforderlich. (Mit Berechtigung zum Ändern aufrufen, in der Benutzeroberfläche) program:open_with_terminate Auswählen, um die prozessspezifischen Zugriffsrechte zu verhindern: • PROCESS_SUSPEND_RESUME – Zum Aussetzen oder Fortsetzen eines Prozesses erforderlich. • PROCESS_TERMINATE – Zum Beenden eines Prozesses erforderlich. (Mit Berechtigung zum Beenden aufrufen, in der Benutzeroberfläche) program:open_with_wait Auswählen, um das prozessspezifische Zugriffsrecht zu verhindern: • SYNCHRONIZE – Zum Warten auf das Beenden eines Prozesses erforderlich. (Mit Berechtigung zum Warten aufrufen, in der Benutzeroberfläche) HINWEIS: Unter Microsoft Vista und jüngeren Plattformen nicht erhältlich. Windows-Klasse "Registry" In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "Registry" aufgeführt: Abschnitt Werte Class Registry Id Siehe Allgemeine Abschnitte. Hinweise level time user_name Executable 136 keys Registrierungsschlüsseloperation. Einer der erforderlichen Parameter. Verwendung mit Schlüsseloperationen (create, delete, rename, enumerate, monitor, restore, read, replace, load) Siehe Hinweis 1. dest_keys Registrierungsschlüsseloperation. Optional. Nur für "registry:rename" bei der Umbenennung eines Schlüssels. Der Zielwert ist der Name des Schlüssels. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Windows-Signaturen Abschnitt Werte Hinweise values Registrierungsschlüsselwert-Operation. Einer der erforderlichen Parameter. Verwendung mit Registrierungsschlüsseloperationen (delete, read, modify, create). new_data Registrierungsschlüsselwert-Operation. Optional. Nur für "registry:modify" oder Neue Daten des Werts. "registry:create". Siehe Hinweis 2. directives registry:delete Löscht einen Registrierungsschlüssel oder -wert. registry:modify Ändert den Inhalt eines Registrierungswerts oder die Daten eines Registrierungsschlüssels. registry:create Ermöglicht die Erstellung eines Registrierungsschlüssels. registry:permissions Ändert die Berechtigungen eines Registrierungsschlüssels. registry:read Ruft Registrierungsschlüsseldaten (Nummer von Unterschlüsseln usw.) oder den Inhalt eines Registrierungswerts ab. registry:enumerate Listet einen Registrierungsschlüssel auf, d. h. erhält eine Liste aller Unterschlüssel und Werte eines Schlüssels. registry:monitor Stellt eine Anfrage für die Überwachung eines Registrierungsschlüssels. registry:restore Stellt einen Eintrag aus einer Datei wieder her, entspricht der "regedit32"-Wiederherstellungsfunktion. registry:replace Stellt eine Registrierungseinstellung wieder her (erst nach Neustart). registry:load Lädt Registrierungsschlüssel oder -werte aus einer Datei. registry:open_existing_key Öffnet einen vorhandenen Registrierungsschlüssel. registry:rename Benennt einen Registrierungsschlüssel um. Hinweis 1 "HKEY_LOCAL_MACHINE" in einem Registrierungspfad wird durch "REGISTRY\MACHINE\" ersetzt und "CurrentControlSet" wird durch "ControlSet" ersetzt. Beispiel: Der Registrierungswert "abc" unter dem Registrierungsschlüssel "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" wird als "\REGISTRY\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc" dargestellt. Hinweis 2 Die Daten des Abschnitts "new data" müssen einen Hexadezimalwert darstellen. Beispiel: Die Datendefinition des Registrierungswertes "\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\abc" muss als "old_data { Include "%64%65%66"}" dargestellt werden. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 137 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Windows-Signaturen Erweiterte Details Einige oder alle der folgenden Parameter werden in der Registerkarte "Erweiterte Details" von Sicherheitsereignissen für die Klasse "Registry" angezeigt. Die Werte dieser Parameter können verdeutlichen, weshalb eine Signatur ausgelöst wird. GUI-Name Erklärung Registry Key Name des betroffenen Registrierungsschlüssels, einschließlich des Pfadnamens. Beachten Sie Folgendes: Registry Values Für diesen Schlüssel Folgende Syntax verwenden HKEY_LOCAL_MACHINE\ \REGISTRY\MACHINE\ HKEY_CURRENT_USER\ \REGISTRY\CURRENT_USER\ HKEY_CLASSES_ROOT\ \REGISTRY\MACHINE\SOFTWARE\CLASSES\ HKEY_CURRENT_CONFIG\ REGISTRY\MACHINE\SYSTEM\ControlSet\HARDWARE PROFILES\0001\ HKEY_USERS\ \REGISTRY\USER\ Name des Registrierungswerts, verkettet mit dem vollständigen Schlüsselnamen. Beachten Sie Folgendes: Für Werte in diesem Schlüssel Folgende Syntax verwenden HKEY_LOCAL_MACHINE\Test \REGISTRY\MACHINE\Test\* HKEY_CURRENT_USER\Test \REGISTRY\CURRENT_USER\Test\* HKEY_CLASSES_ROOT\Test \REGISTRY\MACHINE\SOFTWARE\CLASSES\Test\* HKEY_CURRENT_CONFIG\Test REGISTRY\MACHINE\SYSTEM\ControlSet\HARDWARE PROFILES\0001\Test\* HKEY_USERS\Test \REGISTRY\USER\Test\* old data Gilt nur für Änderungen des Registrierungswerts: Daten, die ein Registrierungswert enthielt, bevor er geändert oder ein Änderungsversuch durchgeführt wurde. new data Gilt nur für Änderungen des Registrierungswerts: Daten, die ein Registrierungswert enthält, nachdem er geändert wurde, oder die er enthalten würde, wenn die Änderungen akzeptiert werden. old data type Gilt nur für Änderungen des Registrierungswerts: Datentyp, den ein Registrierungswert enthält, bevor er geändert oder ein Änderungsversuch durchgeführt wird. new data type Gilt nur für Änderungen des Registrierungswerts: Datentyp, den ein Registrierungswert nach einer Änderung enthalten würde oder den er enthalten würde, wenn die Änderung akzeptiert würde. Die folgende Regel würde verhindern, dass ein Benutzer oder ein Prozess den Registrierungswert "abc" unter dem Registrierungsschlüssel "\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" löscht. Rule { tag "Sample8" Class Registry Id 4001 138 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Windows-Signaturen level 4 values { Include "\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc" } application { Include "*"} user_name { Include "*" } directives registry:delete } Die verschiedenen Abschnitte dieser Regel haben die folgende Bedeutung: • Class Registry: Gibt an, dass diese Regel für Anforderungen gilt, die an IIS gesendet werden. • Id 4001: Weist dieser Regel die ID 4001 zu. Wenn für eine benutzerdefinierte Signatur mehrere Regeln gelten, müsste jede dieser Regeln dieselbe ID verwenden. • level 4: Weist der Regel die Sicherheitsebene "Hoch" zu. Wenn für eine benutzerdefinierte Signatur mehrere Regeln gelten, müsste jede dieser Regeln dieselbe Ebene verwenden. • values { Include "\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc" }: Gibt an, dass die Regel den Registrierungswert "abc" unter dem Registrierungsschlüssel "\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" überwacht. Wenn die Regel mehrere Werte abdeckt, fügen Sie diese in diesem Abschnitt in verschiedenen Zeilen hinzu. • application { Include "*"}: Gibt an, dass diese Regel für alle Prozesse gilt. Wenn Sie die Regel auf bestimmte Prozesse beschränken möchten, müssen sie hier mit ihrem vollständigen Pfadnamen ausgedrückt werden. • user_name { Include "*" }: Gibt an, dass diese Regel für alle Benutzer gilt (oder genauer gesagt, den Sicherheitskontext, in dem ein Prozess ausgeführt wird). Wenn Sie die Regel auf bestimmte Benutzerkontexte beschränken möchten, müssen diese hier in der Form "Lokal/Benutzer" oder "Domäne/Benutzer" ausgedrückt werden. Informationen siehe Allgemeine Abschnitte. • directives registry:delete: Gibt an, dass diese Regel das Löschen eines Registrierungsschlüssels oder Werts abdeckt. Windows-Klasse "Services" In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "Services" aufgeführt: Abschnitt Werte Class Registry Id Siehe Allgemeine Abschnitte. Hinweise level time user_name Executable services Name des Dienstes, der das Einer der erforderlichen Parameter. Der Name Subjekt der Operation ist, die die eines Dienstes, der in der Registrierung unter Instanz erstellt. "HKLM\SYSTEM\CurrentControlSet\Services\" gefunden wurde. Siehe Hinweis 1. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 139 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Windows-Signaturen Abschnitt Werte Hinweise display_names Angezeigter Name des Dienstes. Einer der erforderlichen Parameter. Dieser Name wird im Dienste-Manager angezeigt. Siehe Hinweis 1. directives services:delete Löscht einen Dienst. services:create Erstellt einen Dienst. services:start Startet einen Dienst. services:stop Beendet einen Dienst. services:pause Hält einen Dienst an. services:continue Setzt einen Dienst nach dem Anhalten fort. services:startup Ändert den Startmodus für einen Dienst. services:profile_enable Aktiviert ein Hardware-Profil. services:profile_disable Deaktiviert ein Hardware-Profil. services:logon Ändert die Anmeldedaten eines Dienstes. Hinweis 1 Der Abschnitt "service" muss den Namen des Dienstes des entsprechenden Registrierungsschlüssels unter "HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\" enthalten. Der Abschnitt "display_names" muss den Anzeigenamen des Dienstes enthalten, d. h. den im Dienste-Manager angezeigten Namen, der sich im folgenden Registrierungswert befindet: "HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<Dienstname>\". Erweiterte Details Einige oder alle der folgenden Parameter werden in der Registerkarte "Erweiterte Details" von Sicherheitsereignissen für die Klasse "Services" angezeigt. Die Werte dieser Parameter können verdeutlichen, weshalb eine Signatur ausgelöst wird. 140 GUI-Name Erklärung Mögliche Werte display names Name des Windows-Dienstes, der im Dienste-Manager angezeigt wird. services Systemname des Windows-Dienstes in "HKLM\CurrentControlSet\Services\". Dieser kann sich von dem im Dienste-Manager angezeigten Namen unterscheiden. params Gilt nur für das Starten eines Dienstes: An den Dienst bei Aktivierung übergebene Parameter. old startup Gilt nur für das Erstellen oder Starten, System, Automatisch, Manuell, Deaktiviert Ändern des Startmodus eines Dienstes: Gibt den Startmodus an, bevor er geändert bzw. ein Änderungsversuch unternommen wurde. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Windows-Signaturen GUI-Name Erklärung Mögliche Werte new startup Gilt nur für das Ändern des Starten, System, Automatisch, Manuell, Deaktiviert Startmodus eines Dienstes: Gibt den Startmodus an, der für einen Dienst nach seiner Änderung gilt bzw. den er hätte, wenn die Änderung akzeptiert wird. logon Gilt nur für Änderungen des Anmeldemodus eines Dienstes: Anmeldedaten (System oder Benutzerkonto), die durch den Dienst verwendet werden. Die folgende Regel würde die Deaktivierung des Warndienstes verhindern. Rule { tag "Sample9" Class Services Id 4001 level 4 Service { Include "Alerter" } application { Include "*"} user_name { Include "*" } directives service:stop } Die verschiedenen Abschnitte dieser Regel haben die folgende Bedeutung: • Class Services: Gibt an, dass diese Regel für die Dateioperationsklasse gilt. • Id 4001: Weist dieser Regel die ID 4001 zu. Wenn für eine benutzerdefinierte Signatur mehrere Regeln gelten, müsste jede dieser Regeln dieselbe ID verwenden. • level 4: Weist der Regel die Sicherheitsebene "Hoch" zu. Wenn für eine benutzerdefinierte Signatur mehrere Regeln gelten, müsste jede dieser Regeln dieselbe Ebene verwenden. • Service { Include "Alerter" }: Gibt an, dass diese Regel den Dienst mit dem Namen "Alerter" abdeckt. Wenn die Regel mehrere Dienste abdeckt, fügen Sie diese in diesem Abschnitt in verschiedenen Zeilen hinzu. • application { Include "*"}: Gibt an, dass diese Regel für alle Prozesse gilt. Wenn Sie die Regel auf bestimmte Prozesse beschränken möchten, müssen sie hier mit ihrem vollständigen Pfadnamen ausgedrückt werden. • user_name { Include "*" }: Gibt an, dass diese Regel für alle Benutzer gilt (oder genauer gesagt, den Sicherheitskontext, in dem ein Prozess ausgeführt wird). Wenn Sie die Regel auf bestimmte Benutzerkontexte beschränken möchten, müssen diese hier in der Form "Lokal/Benutzer" oder "Domäne/Benutzer" ausgedrückt werden. Informationen siehe Allgemeine Abschnitte. • directives service:stop: Gibt an, dass diese Regel die Deaktivierung eines Dienstes abdeckt. Windows-Klasse "SQL" In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Windows-Klasse "SQL" aufgeführt: McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 141 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Windows-Signaturen Abschnitt Werte Class MSSQL Id Siehe Allgemeine Abschnitte. Hinweise level time user_name Executable 142 authentication_mode Boolescher Wert, der angibt, ob eine Windows-Authentifizierung (Wert = 1) oder eine SQL-Authentifizierung (Wert = 0) verwendet wird. client_agent Name des Dienstprogramms, das Beispiel: OSQL-32, Internetinformationsdienste die Anforderung auf dem Client-System sendet. db_user_name Name des Benutzers, wenn eine Beispiel: sa SQL-Authentifizierung verwendet wird, und "Vertrauenswürdiger Benutzer", wenn eine Windows-Authentifizierung verwendet wird. sp_name Name des gespeicherten Vorgangs sp_param_char_len_one... Enthält die Länge des Parameters als Anzahl an Zeichen. sp_param_one... Enthält den Wert des Parameters. sp_param_orign_len-one... Enthält die Länge des Parameters als Anzahl von Byte. sql_line_comment Dieser Wert ist auf "1" festgelegt, wenn die Abfrage einen Zeilenkommentar "-" mit einem einzelnen Anführungszeichen enthält. sql_original_query Enthält die vollständige SQL-Abfrage, wie sie empfangen wurde (einschließlich Zeichenfolgen und Leerzeichen). sql_query Die SQL-Abfragezeichenfolge, aus der Zeichenfolgenwerte, Leerzeichen und alle Inhalte nach den Kommentaren entfernt wurden. sql_user_password Dies ist auf "1" festgelegt, wenn Für Nicht-SQL-Benutzer ist dieser Wert immer auf das Kennwort "NULL" lautet, "0" festgelegt. ansonsten ist der Wert 0. Dieser sollte dem Namen der gespeicherten Prozedur entsprechen. Eine gespeicherte Prozedur wird anhand einer bereitgestellten Liste der Prozedurennamen ermittelt, die in jeder SQL-Agenten-Version enthalten ist (aktuell ist dies "SPList.txt" im Agenten-Verzeichnis). McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Windows-Signaturen Abschnitt Werte Hinweise transport Unter MSSQL 2005/2008 ist dieser Wert hartkodiert als: Freigegebener Speicher (LPC). directives sql:request. Für eingehende SQL-Anforderungen. Klassen und Richtlinien für die einzelnen Windows-Plattformen Eine Liste der gültigen Klassen und Richtlinien für die einzelnen Windows-Plattformen: • Windows XP, SP2, SP3, 32 und 64 Bit (XP) • Windows 2003, R2, R2 SP2, 32 und 64 Bit (2K3) • Windows Vista (32 und 64 Bit) (V) • Windows 2008 R2 (32 und 64 Bit) (2K8) • Windows 7 (32 und 64 Bit) (7) Klasse "Buffer Overflow" Richtlinien 32-Bit-Prozesse unter 32-Bit-Prozesse unter 64-Bit-Prozesse unter 32-Bit-Windows-Betriebssystem 64-Bit-Windows-Betriebssystem 64-Bit-Windows-Betriebssystem (x32) (x64) (x64) bo: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 stack x x x x x x x x x x heap x x x x x x x x x x writeable_memory x x x x x x x x x x invalid_call x x x x x x x x x x target_bytes x x x x x x x x x x call_not_found x x x x x x x x x x call_return_unreadable x x x x x x x x x x call_different_target x x x x x x x x x x call_return_to_api x x x x x x x x x x XP 2K3 V 2K8 7 Klasse "Files" Richtlinien 32-Bit-Prozesse unter 32-Bit-Prozesse unter 64-Bit-Prozesse unter 32-Bit-Windows-Betriebssystem 64-Bit-Windows-Betriebssystem 64-Bit-Windows-Betriebssystem (x32) (x64) (x64) files: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 create x x x x x x x x x x x x x x x read x x x x x x x x x x x x x x x write x x x x x x x x x x x x x x x execute x x x x x x x x x x x x x x x delete x x x x x x x x x x x x x x x rename x x x x x x x x x x x x x x x McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 143 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Windows-Signaturen Richtlinien 32-Bit-Prozesse unter 32-Bit-Prozesse unter 64-Bit-Prozesse unter 32-Bit-Windows-Betriebssystem 64-Bit-Windows-Betriebssystem 64-Bit-Windows-Betriebssystem (x32) (x64) (x64) files: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 attribute x x x x x x x x x x x x x x x writeop x x x x x x x x x x x x x x x hardlink x x x x x x x x x x x x x x x Klasse "Hook" Richtlinien 32-Bit-Prozesse unter 32-Bit-Prozesse unter 64-Bit-Prozesse unter 32-Bit-Windows-Betriebssystem 64-Bit-Windows-Betriebssystem 64-Bit-Windows-Betriebssystem (x32) (x64) (x64) hook: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 set_windows_hook x x x x x x x x x x x x x x x Klasse "Illegal API Use" Richtlinien 32-Bit-Prozesse unter 32-Bit-Prozesse unter 64-Bit-Prozesse unter 32-Bit-Windows-Betriebssystem 64-Bit-Windows-Betriebssystem 64-Bit-Windows-Betriebssystem (x32) (x64) (x64) illegal_api_use: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 bad_parameter x x x x x x x x x x x x x x x invalid_call x x x x x x x x x x x x x x x Klasse "Illegal Use" Richtlinien 32-Bit-Prozesse unter 32-Bit-Prozesse unter 64-Bit-Prozesse unter 32-Bit-Windows-Betriebssystem 64-Bit-Windows-Betriebssystem 64-Bit-Windows-Betriebssystem (x32) (x64) (x64) illegal: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 api x x x x x x x x x x x x x x x Klasse "ISAPI" Richtlinien 32-Bit-Prozesse unter 32-Bit-Prozesse unter 64-Bit-Prozesse unter 32-Bit-Windows-Betriebssystem 64-Bit-Windows-Betriebssystem 64-Bit-Windows-Betriebssystem (x32) (x64) (x64) isapi: 144 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 request x x x x x x requrl x x x x x x reqquery x x x x x x rawdata x x x x x x response x x x x x x McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 7 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Windows-Signaturen Klasse "Program" Richtlinien 32-Bit-Prozesse unter 32-Bit-Prozesse unter 64-Bit-Prozesse unter 32-Bit-Windows-Betriebssystem 64-Bit-Windows-Betriebssystem 64-Bit-Windows-Betriebssystem (x32) (x64) (x64) program: XP 2K3 V 2K8 7 XP run x x x x x open_with_any x x x x open_with_create_thread x x x open_with_modify x x open_with_terminate x x open_with_wait x x 2K3 V 2K8 7 XP 2K3 V 2K8 7 x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x Klasse "Registry" Richtlinien 32-Bit-Prozesse unter 32-Bit-Prozesse unter 64-Bit-Prozesse unter 32-Bit-Windows-Betriebssystem 64-Bit-Windows-Betriebssystem 64-Bit-Windows-Betriebssystem (x32) (x64) (x64) registry: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 create x x x x x x x x x x x x x x x read x x x x x x x x x x x x x x x delete x x x x x x x x x x x x x x x modify x x x x x x x x x x x x x x x permissions x enumerate x x x x x x x x x x x monitor x x x restore x x x replace x x x x x x x x x x x x x x x x x x x x x x x x load open_existing_key x x x rename x x x x x x x x x x x x x x x Klasse "Services" Richtlinien 32-Bit-Prozesse unter 32-Bit-Prozesse unter 64-Bit-Prozesse unter 32-Bit-Windows-Betriebssystem 64-Bit-Windows-Betriebssystem 64-Bit-Windows-Betriebssystem (x32) (x64) (x64) services: XP 2K3 start x x stop x x pause x x continue x x startup x x V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 x x x x x x x x x x x x x McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 145 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Nicht-Windows-Signaturen Richtlinien 32-Bit-Prozesse unter 32-Bit-Prozesse unter 64-Bit-Prozesse unter 32-Bit-Windows-Betriebssystem 64-Bit-Windows-Betriebssystem 64-Bit-Windows-Betriebssystem (x32) (x64) (x64) services: XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 XP 2K3 V 2K8 7 profile_enable x x x x x x x x x x x x x x x profile_disable x x x x x x x x x x x x x x x logon x x x x x x x x x x x x x x x create x x x x x x x x x x x x x x x delete x x x x Klasse "SQL" Richtlinien 32-Bit-Prozesse unter 32-Bit-Prozesse unter 64-Bit-Prozesse unter 32-Bit-Windows-Betriebssystem 64-Bit-Windows-Betriebssystem 64-Bit-Windows-Betriebssystem (x32) (x64) (x64) sql: XP 2K3 V 2K8 7 request x x x x x XP 2K3 V 2K8 7 XP 2K3 V 2K8 x x x x 7 Benutzerdefinierte Nicht-Windows-Signaturen In diesem Abschnitt wird beschrieben, wie Sie benutzerdefinierte Signaturen für die Plattformen Solaris und Linux erstellen. HINWEIS: Regeln in den Windows-Class-Dateien verwenden doppelte Schrägstriche, Regeln in der Nicht-Windows-Klasse "UNIX_file" verwenden einen einzelnen Schrägstrich. Die Klasse der Signatur hängt von der Art des Sicherheitsproblems ab und vom Schutz, den die Signatur bieten kann. Für Solaris und Linux sind folgende Klassen verfügbar: Klasse Verwendung UNIX_file Für Datei- oder Verzeichnisoperationen unter Solaris und Linux. UNIX_apache Für HTTP-Anforderungen unter Solaris und Linux. UNIX_Misc Für den Zugriffsschutz unter Solaris und Linux. UNIX_bo Für den Buffer Overflow. Nur Solaris. UNIX_map Für die Zuordnung von Dateien oder Geräten im Arbeitsspeicher. Nur Solaris. UNIX_GUID Um Benutzern die Möglichkeit zu bieten, ausführbare Dateien mit den Berechtigungen des Eigentümers oder der Gruppe der ausführbaren Datei verwenden zu können. Nur Solaris. Solaris/Linux-Klasse "UNIX_file" In der folgenden Tabelle sind die möglichen Abschnitte und Werte der UNIX-basierten Klasse "UNIX_file" aufgeführt: 146 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Nicht-Windows-Signaturen Abschnitt Werte Class UNIX_file Id Siehe Allgemeine Abschnitte. Hinweise level time user_name Executable files An der Operation beteiligte Datei Einer der erforderlichen Parameter. Zu suchende oder Ordner Dateien. Siehe Hinweis 1. source Zieldateinamen Einer der erforderlichen Parameter. Siehe Hinweis 1. file Liste der Berechtigungen für Quelldateinamen Nur Solaris. Optional. Siehe Hinweis 2. new Berechtigungsmodus für neu erstellte Datei oder veränderte Berechtigung Nur Solaris. Optional. Siehe Hinweis 2. zone Name der Zone, für die die Signatur gilt. Solaris 10 oder höher. Siehe Hinweis 5. directives unixfile:chdir Ändert das Arbeitsverzeichnis. unixfile:chmod Ändert die Berechtigungen für das Verzeichnis oder die Datei. unixfile:chown Ändert die Eigentümerschaft für ein Verzeichnis oder eine Datei. unixfile:create Erstellt eine Datei. unixfile:link Erstellt einen festen Link. Siehe Hinweis 3. unixfile:mkdir Erstellt ein Verzeichnis. unixfile:read Öffnet eine Datei im Lesemodus. unixfile:rename Benennt eine Datei um. Siehe Hinweis 4. unixfile:rmdir Entfernt ein Verzeichnis. unixfile:symlink Erstellt einen symbolischen Link. unixfile:unlink Löscht eine Datei aus einem Verzeichnis oder löscht ein Verzeichnis. unixfile:write Öffnet eine Datei im Lese-/Schreib-Modus. unixfile:setattr Nur Linux. Ändert die Berechtigungen und die Eigentümerschaft für das Verzeichnis oder die Datei. unixfile:mknod Erstellt einen Knoten. unixfile:access Ändert die Dateiattribute. Überwachte Attribute sind "Schreibgeschützt", "Verborgen", "Archiv" und "System". unixfile:foolaccess Nur Solaris. Dateiname weist 512 aufeinander folgende '/' auf. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 147 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Nicht-Windows-Signaturen Abschnitt Werte Hinweise unixfile:priocntl Nur Solaris. Zeigt Zeitplanparameter an oder legt diese fest. Hinweis 1 Relevante Richtlinien pro Abschnitt: Richtlinie Datei chdir X chmod X chown X create X link X mkdir X read X rename X rmdir X setattr X symlink X unlink X write X Quelle Dateiberechtigung Neue Berechtigung X X X X X X X X Hinweis 2 Der Wert der Abschnitte "file permissions" (Dateiberechtigungen) und "new permissions" (Neue Berechtigungen) entspricht der Zugriffskontrollliste (Access Control List). Diese Abschnitte können nur die Werte "SUID" oder "SGID" haben. Hinweis 3 Die Richtlinie "unixfile:link" hat eine andere Bedeutung, wenn sie mit Abschnitt "files" und Abschnitt "source" kombiniert wird: • In Kombination mit dem Abschnitt "files" bedeutet sie, dass das Erstellen eines Links zur Datei im Abschnitt "files" überwacht wird. • In Kombination mit Abschnitt "source" bedeutet dies, dass kein Link mit dem Namen erstellt werden kann, der im Abschnitt "source" angegeben wurde. Hinweis 4 Die Richtlinie "unixfile:rename" hat eine andere Bedeutung, wenn sie mit Abschnitt "files" und Abschnitt "source" kombiniert wird: • In Kombination mit dem Abschnitt "files" bedeutet sie, dass die Umbenennung der Datei im Abschnitt "files" überwacht wird. • In Kombination mit dem Abschnitt "source" bedeutet sie, dass keine Datei in die Datei im Abschnitt "source" umbenannt werden kann. 148 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Nicht-Windows-Signaturen Hinweis 5 Standardmäßig sind alle Zonen durch die Signatur geschützt. Wenn Sie den Schutz auf eine bestimmte Zone beschränken möchten, fügen Sie in der Signatur einen Zonenabschnitt hinzu, und binden Sie den Namen der Zone ein. Wenn Sie beispielsweise eine Zone "app_zone" verwenden, deren Stammverzeichnis "/zones/app" lautet, dann gilt für die Regel Folgendes: Rule { ... file { Include "/tmp/test.log" } zone { Include "app_zone" } ... } Sie gilt nur für Dateien in der Zone "app_zone", nicht aber in der globalen Zone. Beachten Sie, dass bei dieser Version der Web-Server-Schutz nicht auf eine bestimmte Zone beschränkt werden kann. Erweiterte Details Einige oder alle der folgenden Parameter werden in der Registerkarte "Erweiterte Details" von Sicherheitsereignissen für die Klasse "UNIX_file" angezeigt. Die Werte dieser Parameter können verdeutlichen, weshalb eine Signatur ausgelöst wird. GUI-Name Erklärung files Die Namen der Datei, auf die zugegriffen wurde oder auf die versucht wurde, zuzugreifen. source Trifft nur zu, wenn die Operation die Erstellung eines symbolischen Links zwischen Dateien ist: Name des neuen Links; oder wenn die Operation die Umbenennung einer Datei ist: neuer Name der Datei. file permission Berechtigungen der Datei. source permission Trifft nur zu, wenn die Operation die Erstellung eines symbolischen Links zwischen Dateien ist: Berechtigungen für die Zieldatei (die Datei, auf die der Link verweist). Nur Solaris. new permission Trifft nur zu, wenn eine neue Datei erstellt oder wenn eine chmod-Operation durchgeführt wird: Berechtigungen für die neue Datei. Nur Solaris. Solaris/Linux-Klasse "UNIX_apache" (HTTP) In der folgenden Tabelle sind die möglichen Abschnitte und Werte der UNIX-basierten Klasse "UNIX_apache" aufgeführt: Abschnitt Werte Class UNIX_apache Id Siehe Allgemeine Abschnitte. Hinweise level time McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 149 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Nicht-Windows-Signaturen Abschnitt Werte Hinweise user_name Executable url Optional. Vergleicht mit dem URL-Teil einer eingehenden Anforderung. Siehe Hinweise 1–4. query Optional. Vergleicht mit dem Abfrageteil einer eingehenden Anforderung. Siehe Hinweise 1–4. method "GET", "POST", "INDEX" und alle Optional. Siehe Hinweis 4. anderen erlaubten HTTP-Methoden. zone Name der Zone, für die die Signatur gilt. Solaris 10 oder höher. Siehe Hinweis 5. directives apache:requrl Für URL-Anforderungen. apache:reqquery Für Abfrageanforderungen. apache:rawdata Für Rohdatenanforderungen. Hinweis 1 Eine eingehende HTTP-Anforderung kann dargestellt werden als: http://www.eigenerserver.de/ {url}?{query}. In diesem Dokument gilt {url} als der "URL"-Teil der HTTP-Anforderung und {query} als der "Query"-Teil der HTTP-Anforderung. Mit dieser Namenskonvention kann definiert werden, dass der Abschnitt "url" abgeglichen wird mit {url} und der Abschnitt "query" abgeglichen wird mit {query}. Beispielsweise würde die folgende Regel ausgelöst, wenn die HTTP-Anforderung "http:// www.eigenerserver.de/search/abc.exe?subject=wildlife&environment=ocean" durch IIS empfangen würde: Rule { Class UNIX_apache Id 4001 level 1 url { Include "*abc*" } time { Include "*" } application { Include "*"} user_name { Include "*" } directives apache:request } Diese Regel wird ausgelöst, weil "{url} = /search/abc.exe" ist, wodurch der Wert des Abschnitts "url" abgeglichen wird (d. h. abc). Hinweis 2 Bevor der Abgleich durchgeführt wird, werden die Abschnitte "url" und "query" dekodiert und normalisiert, sodass Anforderungen nicht mit Kodierungs- oder Escape-Folgen gefüllt werden können. 150 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Nicht-Windows-Signaturen Hinweis 3 Eine Beschränkung für die maximale Länge kann für die Abschnitte "url" und "query" festgelegt werden. Durch Hinzufügen von ";number-of-chars" zum Wert dieser Abschnitte kann diese Regel nur abgeglichen werden, wenn {url} oder {query} aus mehr Zeichen besteht als "number-of-chars". Für die folgende Regel wird z. B. eine Übereinstimmung gefunden, wenn der URL-Teil der Anforderung "abc" enthält und der URL-Teil der Anforderung mehr als 500 Zeichen umfasst: Rule { Class UNIX_apache Id 4001 level 1 url { Include "*abc*;500" } time { Include "*" } application { Include "*"} user_name { Include "*" } directives apache:request} } Hinweis 4 Eine Regel muss mindestens eine der optionalen Abschnitte "url", "query" und "method" enthalten. Hinweis 5 Standardmäßig sind alle Zonen durch die Signatur geschützt. Wenn Sie den Schutz auf eine bestimmte Zone beschränken möchten, fügen Sie in der Signatur einen Zonenabschnitt hinzu, und binden Sie den Namen der Zone ein. Wenn Sie beispielsweise eine Zone "app_zone" verwenden, deren Stammverzeichnis "/zones/app" lautet, dann gilt für die Regel Folgendes: Rule { ... file { Include "/tmp/test.log" } zone { Include "app_zone" } ... } Sie gilt nur für Dateien in der Zone "app_zone", nicht aber in der globalen Zone. Beachten Sie, dass bei dieser Version der Web-Server-Schutz nicht auf eine bestimmte Zone beschränkt werden kann. Solaris/Linux-Klasse "UNIX_Misc" In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Solaris/Linux-Klasse "UNIX_misc" aufgeführt: Abschnitt Werte Hinweise Class UNIX_misc Eine nicht kategorisierbare Klasse für den Zugriffsschutz. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 151 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Nicht-Windows-Signaturen Abschnitt Werte Id Siehe Allgemeine Abschnitte. Hinweise level time user_name Executable zone Name der Zone, für die die Signatur gilt. Solaris 10 oder höher. directives unixmisc:killagent Das Signal "SIGKILL" wird nicht an den Client gesendet. Solaris-Klasse "UNIX_bo" In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Solaris-Klasse "UNIX_bo" (Buffer Overflow) aufgeführt: Abschnitt Werte Class UNIX_bo Id Siehe Allgemeine Abschnitte. Hinweise level time user_name Executable program Programmname Zu suchendes Programm. zone Name der Zone, für die die Signatur gilt. Solaris 10 oder höher. Siehe Hinweis 1. directives unixbo:binargs Binäre Argumente. unixbo:illegal_address Ungültige Adresse, z. B. Ausführen eines Programms aus dem Stapel. unixbo:exec Programmausführung. unixbo:enrironment Programmumgebung. unixbo:binenv Binäre Umgebung. unixbo:libc Wird verwendet, wenn die Rückgabeadresse für eine Funktion nicht im entsprechenden Stapelframe liegt. Hinweis 1 Standardmäßig sind alle Zonen durch die Signatur geschützt. Wenn Sie den Schutz auf eine bestimmte Zone beschränken möchten, fügen Sie in der Signatur einen Zonenabschnitt hinzu, und binden Sie den Namen der Zone ein. Wenn Sie beispielsweise eine Zone "app_zone" verwenden, deren Stammverzeichnis "/zones/app" lautet, dann gilt für die Regel Folgendes: 152 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Nicht-Windows-Signaturen Rule { ... file { Include "/tmp/test.log" } zone { Include "app_zone" } ... } Sie gilt nur für Dateien in der Zone "app_zone", nicht aber in der globalen Zone. Beachten Sie, dass bei dieser Version der Web-Server-Schutz nicht auf eine bestimmte Zone beschränkt werden kann. Solaris-Klasse "UNIX_map" In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Solaris-Klasse "UNIX_map" aufgeführt: Abschnitt Werte Hinweise Class UNIX_map Mit dieser Klasse können Sie UNIX-Dateien oder -Geräte im Arbeitsspeicher zuordnen. Id Siehe Allgemeine Abschnitte. level time user_name Executable zone Name der Zone, für die die Signatur gilt. Solaris 10 oder höher. directives mmap:mprotect Legt den Zugriffsschutz für Speicherseiten fest. mmap:mmap Ordnet Dateien oder Geräte im Arbeitsspeicher zu. Solaris-Klasse "UNIX_GUID" In der folgenden Tabelle sind die möglichen Abschnitte und Werte der Solaris-Klasse "UNIX_GUID" aufgeführt: Abschnitt Werte Hinweise Class UNIX_GUID Mit dieser Klasse können Sie Unix-Benutzerzugriffs-Berechtigungsmarkierungen festlegen, mit denen die Benutzer ausführbare Dateien mit den Berechtigungen des Eigentümers oder der Gruppe der ausführbaren Datei verwenden können. Id Siehe Allgemeine Abschnitte. level time user_name Executable McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 153 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Nicht-Windows-Signaturen Abschnitt Werte Hinweise zone Name der Zone, für die die Signatur gilt. Solaris 10 oder höher. directives guid:setuid Legt eine Benutzer-ID fest, damit Benutzer ausführbare Dateien mit den Berechtigungen des Eigentümers oder der Gruppe der ausführbaren Datei verwenden können. guid:seteuid Legt die gültige Benutzer-ID fest. guid:setreuid Legt die tatsächliche und die gültige Benutzer-ID fest. guid:setgid Legt eine Gruppen-ID fest, damit Gruppen ausführbare Dateien mit den Berechtigungen des Eigentümers oder der Gruppe der ausführbaren Datei verwenden können. guid:setegid Legt die gültige Gruppen-ID fest. guid:setregid Legt die tatsächliche und die gültige Gruppen-ID fest. Klassen und Richtlinien für die einzelnen UNIX-Plattformen Eine Liste der gültigen Klassen und Richtlinien für die einzelnen Nicht-Windows-Plattformen: Klasse "UNIX_bo" Richtlinien RedHat Linux SuSE Linux Solaris 9 Solaris 10 unixbo:binargs X X unixbo:illegal_address X X unixbo:exec X X unixbo:enrironment X X unixbo:binenv X X unixbo:libc X X Klasse "UNIX_file" 154 Richtlinien RedHat Linux SuSE Linux Solaris 9 Solaris 10 unixfile:chdir X X X X unixfile:chmod X X X X unixfile:chown X X X X unixfile:create X X X X unixfile:link X X X X unixfile:mkdir X X X X unixfile:read X X X X unixfile:rename X X X X unixfile:rmhdir X X X X McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Anhang A – Schreiben von benutzerdefinierten Signaturen und Ausnahmen Benutzerdefinierte Nicht-Windows-Signaturen Richtlinien RedHat Linux SuSE Linux Solaris 9 Solaris 10 unixfile:setattr X X unixfile:symlink X X X X unixfile:unlink X X X X unixfile:write X X X X unixfile:mknod X X X X unixfile:access X X X X unixfile:foolaccess X X unixfile:priocntl X X Klasse "UNIX_Misc" Richtlinien RedHat Linux SuSE Linux Solaris 9 Solaris 10 unixmisc:killagent X X X X Klasse "UNIX_apache" Richtlinien RedHat Linux SuSE Linux Solaris 9 Solaris 10 apache:requrl X X X X apache:reqquery X X X X apache:rawdata X X X X Klasse "UNIX_map" Richtlinien RedHat Linux SuSE Linux Solaris 9 Solaris 10 mmap:mprotect X X mmap:mmap X X Klasse "UNIX_GUID" Richtlinien RedHat Linux SuSE Linux Solaris 9 Solaris 10 guid:setuid X X guid:seteuid X X guid:setreuid X X guid:setgid X X guid:setegid X X guid:setregid X X McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 155 Anhang B: Fehlerbehebung In den Knowledge Base-Artikeln auf der Support-Webseite von McAfee Support http://mcafee.com finden Sie aktuelle Informationen zu Fehlern und deren Lösung. Die neuesten Informationen erhalten Sie in KB69184. Inhalt Allgemeine Probleme Host IPS-Protokolle Dienstprogramm Clientcontrol.exe Allgemeine Probleme Welche Dienste von Host Intrusion Prevention sollten auf dem Client installiert und ausgeführt werden, damit die Software einwandfrei funktioniert? Voraussetzung für einen Eindringungsschutz mit IPS oder Firewall oder beidem sind folgende Dienste: • McAfee Host Intrusion Prevention Service (FireSvc.exe) • McAfee Firewall Core Service (mfefire.exe) • McAfee Validation Trust Protection Service (mfevtps.exe) Beim Aufruf sollten folgende Dienste aktiviert sein: • McAfee Host Intrusion Prevention system tray icon service (FireTray.exe). • McAfee Host Intrusion Prevention client console (McAfeeFire.exe) Wie lässt sich verhindern, dass die Firewall Nicht-IP-Datenverkehr blockiert? Wenn nicht anders in einer Firewall-Regel angegeben, werden einige Arten von Nicht-IP-Datenverkehr von der Firewall nicht erkannt und daher blockiert. Außerdem werden mit den adaptiven und lernfähigen Modi Firewall-Regeln für Nicht-IP-Protokolle nicht dynamisch entdeckt und erstellt. Um zu verhindern, dass Nicht-IP-Protokolle unterbrochen werden, wählen Sie in der Richtlinie Firewall-Optionen die Option Datenverkehr für nicht unterstützte Protokolle erlauben aus. Anschließend können Sie das Aktivitätsprotokoll auf Zulässiges eingehendes/ausgehendes Nicht-IP-Protokoll: mit dem Wert 0xXXX prüfen, wobei 0xXXX der IANA-Ethernet-Nummer des Protokolls entspricht (siehe htttp://www.iana.org/assignments/ethernet-numbers). Ermitteln Sie anhand dieser Informationen den erforderlichen Nicht-IP-Datenverkehr, und erstellen Sie eine Firewall-Regel, die diesen zulässt. 156 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Anhang B: Fehlerbehebung Allgemeine Probleme Wie ist vorzugehen, wenn eine Anwendung nach der Installation von Host Intrusion Prevention oder nach der Aktualisierung von Inhalten nicht mehr richtig funktioniert? Ändert sich die Funktionsweise einer Anwendung nach der Installation oder Aktualisierung eines Clients mit Host Intrusion Prevention oder nach Durchführung einer Inhaltsaktualisierung, ermitteln Sie, ob das Problem durch eine Signatur oder anderweitig ausgelöst wird. Vorgehensweise, wenn eine IPS-Signatur die Problemursache ist: 1 Aktivieren Sie auf dem Client oder auf dem ePolicy Orchestrator-Server in der Richtlinie für die Client-Benutzeroberfläche die IPS- (in HipShield.log) und die Firewall-Protokollierung (in FireSvc.log), und reproduzieren Sie das Problem. 2 Suchen Sie in HipShield.log nach VERLETZUNG: nach Verletzungsinformationen zu einem beliebigen <Ereignis>. 3 Wird die Aktivität ereignisbedingt durch eine Signatur blockiert, öffnen Sie auf dem ePolicy Orchestrator-Server unter Berichte die Registerkarte Ereignisse, suchen Sie das Ereignis, und erstellen Sie eine Ausnahme. Die Ausnahme sollte mithilfe der erweiterten Ereignisparameter so detailliert wie möglich formuliert werden. 4 Stehen für das Ereignis nur begrenzt Parameter zur Verfügung, zeigen Sie die zum Ereignis gehörige Signatur an. Wird in der Beschreibung der IPS-Signatur auf ein Element von Common Vulnerabilities and Exposures (CVE) verwiesen, bedeutet das, dass ein sicherheitsbezogener Aktualisierungs-Patch vorliegt. Wenden Sie den Patch an, und deaktivieren Sie die Signatur. Vorgehensweise, wenn das Problem nicht mit einer IPS-Signatur zusammenhängt: 1 Deaktivieren Sie alle Module von Host Intrusion Prevention (IPS, Netzwerk-IPS und Firewall), und prüfen Sie, ob das Problem erneut auftritt. 2 Deaktivieren Sie IPS, und halten Sie den Host Intrusion Prevention-Client-Dienst (FireSvc.exe) an. Prüfen Sie dann, ob das Problem erneut auftritt. 3 Wenn das Problem nicht wieder auftritt, wählen Sie auf dem ePolicy Orchestrator-Server in der Richtlinie Firewall-Optionen die Option Datenverkehr für nicht unterstützte Protokolle erlauben aus, und wenden Sie die Richtlinie auf dem Client an. Prüfen Sie mit dieser Optionsauswahl, ob das Problem erneut auftritt. Hinweis: Auch bei deaktivierter Firewall kann der Datenverkehr dennoch unterbrochen werden, wenn Host Intrusion Prevention aktiviert ist. 4 Lässt sich das Problem so nicht beheben, deaktivieren Sie den McAfee NDIS Intermediate Filter Miniport-Adapter, und prüfen Sie, ob das Problem erneut auftritt. 5 Lässt sich das Problem so nicht beheben, deinstallieren Sie den McAfee NDIS Intermediate Filter Miniport-Adapter, und prüfen Sie, ob das Problem erneut auftritt. Ausführliche Informationen finden Sie im KnowledgeBase-Artikel 51676 unter http://knowledge.mcafee.com. 6 Wenn das Problem nach der Deinstallation von NDIS nicht auftritt, lesen Sie KnowledgeBase-Artikel 68557 unter http://knowledge.mcafee.com, und prüfen Sie bei deinstalliertem NDIS und installiertem Microsoft PassThru-Treiber. Vorgehensweise, wenn das Problem nur auftritt, wenn das IPS-Modul aktiviert ist und keine <Ereignis>-Verletzungen in HipShield.log erfasst sind: 1 Ermitteln Sie die zur Anwendung gehörigen ausführbaren Dateien. 2 Schließen Sie diese in der Anwendungsschutzliste von Host IPS aus dem Schutz aus. 3 Prüfen Sie die Funktionsweise der Anwendung erneut. Notieren Sie die Ergebnisse. 4 Schließen Sie die in Schritt 2 ausgeschlossenen ausführbaren Dateien ein. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 157 Anhang B: Fehlerbehebung Allgemeine Probleme 5 Ermitteln Sie das möglicherweise fehlerverursachende IPS-Modul. Ausführliche Informationen finden Sie im KnowledgeBase-Artikel 54960 unter http://knowledge.mcafee.com. 6 Ermitteln Sie das IPS-Modul, das das Problem möglicherweise verursacht. Wie werden Komponenten in Host IPS zur Entdeckung problemverursachender Module isoliert? HINWEIS: Im Rahmen der folgenden Vorgehensweisen sind u. U. wiederholt Neustarts, Anmeldungen oder die Reproduktion von Problemen erforderlich. Die Schritte werden auf dem lokalen Client-System ausgeführt, auf dem sich die Host IPS-Konsole befindet. Wenn Sie die Problemursache feststellen, das Problem aber nicht lösen können, senden Sie die erhaltenen Protokolle an den Support von McAfee. Deaktivieren Sie alle Komponenten, und prüfen Sie sie auf Fehler: 1 IPS deaktivieren: Klicken Sie auf die Registerkarte IPS-Richtlinie, und deaktivieren Sie die Kontrollkästchen Host IPS aktivieren und Netzwerk-IPS aktivieren. 2 Firewall deaktivieren: Öffnen Sie die Registerkarte Firewall-Richtlinie, und deaktivieren Sie das Kontrollkästchen Firewall aktivieren. 3 Liste Blockierte Hosts löschen: Klicken Sie auf die Registerkarte Blockierte Hosts, und löschen Sie die Liste durch Auswahl der einzelnen Einträge und durch Klicken auf Entfernen. 4 Aktivitätsprotokollierung aktivieren: Klicken Sie auf die Registerkarte Aktivitätsprotokoll, und prüfen Sie, ob alle Kontrollkästchen für die Protokollierung von Datenverkehr sowie Filteroptionen aktiviert sind. 5 Prüfen Sie, ob das Problem im System erneut auftritt: • Wenn ja, fahren Sie mit Schritt 6 fort. • Wenn nein, gehen Sie zu Schritt 1 der Wiederholtestphase. 6 Prüfen Sie Folgendes: • Halten Sie den McAfee Host IPS-Dienst an, und prüfen Sie das System erneut. Wenn das Problem nicht mehr auftritt, vermerken Sie, dass es direkt mit dem Dienst zusammenhängt. • Deinstallieren Sie den Host IPS-Client vom lokalen System, und prüfen Sie das System erneut. Wenn das Problem nicht mehr auftritt, vermerken Sie, dass es mit den installierten Dateien und nicht mit einer bestimmten Komponente zusammenhängt. Einzelne Komponenten wiederholt testen: Host IPS testen 1 Öffnen Sie die Registerkarte Aktivitätsprotokoll, und löschen Sie das Protokoll. 2 Öffnen Sie die Registerkarte IPS-Richtlinie, und wählen Sie Host IPS aktivieren aus. 3 Prüfen Sie, ob das Problem im System erneut auftritt: • Wenn das Problem nicht mehr auftritt, fahren Sie unter Netzwerk-IPS testen mit Schritt 5 fort. • Wenn das Problem wieder auftritt: 158 1 Deaktivieren Sie die Option Host IPS aktivieren. 2 Prüfen Sie das System erneut. Wenn das Problem behoben wurde, kann Host IPS damit zusammenhängen. 3 Speichern Sie für den Support eine Kopie des Aktivitätsprotokolls unter dem Namen Host IPS-Aktivitätsprotokoll mit Fehler. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Anhang B: Fehlerbehebung Allgemeine Probleme 4 Aktivieren Sie das Kontrollkästchen Host IPS aktivieren, und prüfen Sie, ob das Problem erneut auftritt. Alle IPS-Module prüfen: 1 Klicken Sie auf Hilfe, und wählen Sie Fehlerbehebung aus. 2 Wählen Sie unter der IPS-Protokollierung die Berichte zu Fehler aus. 3 Wählen Sie Sicherheitsverstöße protokollieren aus. 4 Klicken Sie auf Funktionalität. 5 Deaktivieren Sie im Dialogfeld HIPS-Module das Kontrollkästchen Alle Module aktivieren/deaktivieren, und klicken Sie auf OK. 6 Prüfen Sie, ob das Problem im System erneut auftritt. 7 Führen Sie einen der folgenden Vorgänge aus: • Wenn das Problem erneut auftritt, ermitteln Sie, ob es mit der IPS-Komponente, nicht aber mit bestimmten Modulen zusammenhängt. Prüfen Sie in hipshield.log, ob die IPS-Komponente das Problem ist. • Wenn das Problem nicht wieder auftritt, kann es mit einem bestimmten Modul zusammenhängen. Fahren Sie unter Alle IPS-Module testen mit dem nächsten Schritt fort. Alle IPS-Module testen 1 Klicken Sie auf Hilfe, und wählen Sie Fehlerbehebung aus. 2 Wählen Sie unter der IPS-Protokollierung die Berichte zu Fehler aus. 3 Wählen Sie Sicherheitsverstöße protokollieren aus. 4 Klicken Sie auf Funktionalität. 5 Wählen Sie die Module der Reihe nach aus, und testen Sie sie. 6 Speichern Sie zur Berichterstattung an den Support nach jedem Test eine Kopie von hipshield.log, und benennen Sie sie mit dem Namen des getesteten Moduls. 7 Aktivieren Sie nach dem Testen alle Module, und fahren Sie mit dem nächsten Schritt fort. Adaptiven Modus von IPS testen 1 Öffnen Sie die Registerkarte Aktivitätsprotokoll, und löschen Sie das Protokoll. 2 Öffnen Sie die Registerkarte IPS-Richtlinie, und wählen Sie Adaptiven Modus aktivieren aus. 3 Prüfen Sie, ob das Problem im System erneut auftritt. 4 Führen Sie einen der folgenden Vorgänge aus: • Wenn das Problem erneut auftritt, deaktivieren Sie Adaptiven Modus aktivieren, und prüfen Sie das System erneut, um zu sehen, ob das Problem weiterhin besteht. Wenn ja, ist der adaptive Modus in Host IPS womöglich die Ursache. Speichern Sie für den Support eine Kopie des Aktivitätsprotokolls unter dem Namen Host IPS Adaptive Aktivität mit Fehler. • Tritt das Problem nicht mehr auf, deaktivieren Sie das Kontrollkästchen Host IPS aktivieren, und fahren Sie mit dem nächsten Schritt fort. Netzwerk-IPS testen 1 Öffnen Sie die Registerkarte Aktivitätsprotokoll, und löschen Sie das Protokoll. 2 Öffnen Sie die Registerkarte IPS-Richtlinie, und wählen Sie Netzwerk-IPS aktivieren aus. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 159 Anhang B: Fehlerbehebung Allgemeine Probleme 3 Prüfen Sie, ob das Problem im System erneut auftritt. 4 Führen Sie einen der folgenden Vorgänge aus: • Wenn das Problem erneut auftritt, deaktivieren Sie Netzwerk-IPS aktivieren, und prüfen Sie das System erneut, um zu sehen, ob das Problem weiterhin besteht. Wenn ja, ist Netzwerk-IPS womöglich die Ursache. Speichern Sie für den Support eine Kopie des Aktivitätsprotokolls unter dem Namen Netzwerk-IPS-Aktivitätsprotokoll mit Fehler. • Tritt das Problem nicht mehr auf, aktivieren Sie das Kontrollkästchen Netzwerk-IPS aktivieren, und fahren Sie mit dem nächsten Schritt fort. Automatische Blockierung von Netzwerk-IPS testen 1 Öffnen Sie die Registerkarte Aktivitätsprotokoll, und löschen Sie das Protokoll. 2 Öffnen Sie die Registerkarte IPS-Richtlinie, und wählen Sie Netzwerk-IPS aktivieren aus. 3 Aktivieren Sie das Kontrollkästchen Angreifer automatisch blockieren. 4 Prüfen Sie, ob das Problem im System erneut auftritt. Wenn ja: 5 a Deaktivieren Sie das Kontrollkästchen Angreifer automatisch blockieren, und prüfen Sie, ob das Problem behoben wurde. Wenn ja, ist die Option Angreifer automatisch blockieren von Netzwerk-IPS womöglich die Ursache. b Öffnen Sie die Registerkarte Blockierte Hosts, suchen Sie nach Einträgen zu blockierten Angreifern, und prüfen Sie auf fälschlicherweise positive Einträge. c Speichern Sie für den Support eine Kopie des Aktivitätsprotokolls unter dem Namen Netzwerk-IPS Adaptives Aktivitätsprotokoll mit Fehler. Tritt das Problem nicht mehr auf, deaktivieren Sie das Kontrollkästchen Netzwerk-PS aktivieren, und fahren Sie mit dem nächsten Schritt fort. Firewall-Richtlinie testen 1 Öffnen Sie die Registerkarte Aktivitätsprotokoll, und löschen Sie das Protokoll. 2 Öffnen Sie die Registerkarte Firewall-Richtlinie, und aktivieren Sie das Kontrollkästchen Firewall aktivieren. 3 Prüfen Sie, ob das Problem im System erneut auftritt. Wenn ja: 4 a Deaktivieren Sie die Option Firewall aktivieren. b Prüfen Sie erneut, ob das Problem behoben wurde. Wenn das Problem behoben ist, ist Host IPS Firewall womöglich die Ursache. c Speichern Sie eine Kopie des Aktivitätsprotokolls unter dem Namen Firewall-Aktivitätsprotokoll mit Fehler. Tritt das Problem nicht mehr auf, aktivieren Sie das Kontrollkästchen Firewall aktivieren, und fahren Sie mit dem nächsten Schritt fort. Lernmodus der Firewall testen 160 1 Öffnen Sie die Registerkarte Aktivitätsprotokoll, und löschen Sie das Protokoll. 2 Öffnen Sie die Registerkarte Firewall-Richtlinie, und deaktivieren Sie die Kontrollkästchen Lernmodus und Eingehend. Deaktivieren Sie das Kontrollkästchen Ausgehend. 3 Prüfen Sie, ob das Problem im System erneut auftritt. Wenn ja: a Deaktivieren Sie das Kontrollkästchen Eingehend. b Prüfen Sie erneut, ob das Problem behoben wurde. Wenn ja, ist der eingehende Lernmodus der Firewall womöglich die Ursache. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Anhang B: Fehlerbehebung Allgemeine Probleme c Speichern Sie für den Support eine Kopie des Aktivitätsprotokolls unter dem Namen Firewall-Aktivitätsprotokoll LernEIN mit Fehler. d Öffnen Sie die Registerkarte Aktivitätsprotokoll, und löschen Sie das Protokoll. 4 Öffnen Sie die Registerkarte Aktivitätsprotokoll, und löschen Sie das Protokoll. 5 Öffnen Sie die Registerkarte Firewall-Richtlinie, und deaktivieren Sie die Kontrollkästchen Lernmodus und Ausgehend. Deaktivieren Sie das Kontrollkästchen Eingehend. 6 Prüfen Sie, ob das Problem im System erneut auftritt. Wenn ja: a Deaktivieren Sie das Kontrollkästchen Ausgehend. b Prüfen Sie erneut, ob das Problem behoben wurde. Wenn ja, ist der ausgehende Lernmodus der Firewall womöglich die Ursache. c Speichern Sie für den Support eine Kopie des Aktivitätsprotokolls unter dem Namen Firewall-Aktivitätsprotokoll LernAUS mit Fehler. d Öffnen Sie die Registerkarte Aktivitätsprotokoll, und löschen Sie das Protokoll. 7 Suchen Sie die Registerkarte Firewall-Richtlinie. 8 Öffnen Sie die Registerkarte Firewall-Richtlinie, und aktivieren Sie die Kontrollkästchen Lernmodus sowie Eingehend und Ausgehend. 9 Prüfen Sie, ob das Problem im System erneut auftritt. Wenn ja: a Deaktivieren Sie die Kontrollkästchen Eingehend und Ausgehend. b Prüfen Sie erneut, ob das Problem behoben wurde. Wenn ja, ist der ein- und ausgehende Lernmodus der Firewall womöglich die Ursache. c Speichern Sie für den Support eine Kopie des Aktivitätsprotokolls unter dem Namen Firewall-Aktivitätsprotokoll LernEINAUS mit Fehler. Mit einer Firewall-Regel für den gesamten Datenverkehr testen: HINWEIS: Dieser Schritt muss ggf. von der ePO-Managementkonsole konfiguriert werden, da die beliebige Testregel die erste Regel in der Regelliste der Firewall sein muss. Wenn auf der Konsole andere Richtlinien konfiguriert wurden, haben diese Vorrang vor lokal erstellten Regeln. 1 Erstellen Sie eine neue Regel unter dem Namen Beliebig. 2 Wählen Sie unter Aktion den Eintrag Zulassen aus. 3 Wählen Sie für Protokoll die Option IP TCP aus. 4 Wählen Sie unter Richtung den Eintrag Beide aus. 5 Speichern Sie die Regel. Wird die Regel auf der ePO-Konsole in einer Richtlinie erstellt, verschieben Sie die Regel Beliebig in der Regelliste an die erste Stelle. Wird die Regel lokal erstellt, sorgen Sie dafür, dass keine anderen Regeln vorrangig gehandhabt werden. 6 Prüfen Sie, ob das Problem im System erneut auftritt. Wenn ja: a Deaktivieren Sie die Regel Beliebig. b Prüfen Sie erneut, ob das Problem behoben wurde. Wenn ja, liegt wahrscheinlich ein Regelkonfigurationsfehler vor. c Erstellen Sie einen Screenshot der Liste der Firewall-Regeln auf der Registerkarte Firewall-Richtlinie. d Speichern Sie eine Kopie des Aktivitätsprotokolls unter dem Namen Firewall-Aktivitätsprotokoll Test mit Beliebig. e Exportieren Sie die Einstellungen für Host IPS-Richtlinie: a Melden Sie sich an der ePO-Konsole an. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 161 Anhang B: Fehlerbehebung Host IPS-Protokolle 7 b Gehen Sie in der ePO-Struktur zum Objekt Richtlinienkatalog. c Suchen Sie nach Host IPS, und erweitern Sie es. d Klicken Sie auf Alle Richtlinien exportieren. Öffnen Sie die Registerkarte Firewall-Richtlinie, deaktivieren Sie das Kontrollkästchen Firewall aktivieren, und fahren Sie mit dem nächsten Schritt fort. Richtlinie für blockierte Hosts testen 1 Öffnen Sie die Registerkarte Aktivitätsprotokoll, und löschen Sie das Protokoll. 2 Öffnen Sie die Registerkarte Blockierte Hosts, und entfernen Sie alle blockierten Hosts aus der Liste. 3 Prüfen Sie, ob das Problem im System erneut auftritt. Wenn nein, hängt es wahrscheinlich nicht mit den blockierten Hosts zusammen. Wenn Sie die Problemursache nicht finden, wenden Sie sich an den Support von McAfee, schildern Sie die Umstände, und übermitteln Sie dem Support die erstellten Dateien. Host IPS-Protokolle Wo befinden sich Protokolldateien? Je nach Betriebssystem befinden sich alle Protokolldateien in einem der folgenden Verzeichnisse auf dem Client-System: • Windows XP, Windows 2003: C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\McAfee\Host Intrusion Prevention • Windows Vista, Windows 2008, Windows 7: C:\Programmdaten\McAfee\Host Intrusion Prevention Wie wird die Protokollierung aktiviert? Die Protokollierung in Host IPS kann mithilfe der Host IPS-Client-Konsole oder der Host IPS-Client-UI-Richtlinie über die ePolicy Orchestrator-Konsole eingestellt werden. So aktivieren Sie die Protokollierung über den Client: 1 Öffnen Sie über das Taskleistensymbol die Host IPS-Konsole. Entsperren Sie mit einem Administratorkennwort oder einem zeitbasierten Kennwort die Benutzeroberfläche. 2 Wählen Sie Hilfe| Fehlerbehebung aus. 3 Legen Sie die erforderlichen Protokollierungseinstellungen fest: • Mit Debug werden alle Meldungen protokolliert. • Mit Informationen werden Informationen, Warnungen und Fehlermeldungen protokolliert. • Mit Warnung werden Warnungen und Fehlermeldungen protokolliert. • Mit Fehler werden Fehlermeldungen protokolliert. • Mit Deaktiviert werden keine Meldungen protokolliert. 162 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Anhang B: Fehlerbehebung Host IPS-Protokolle Die Firewall- und IPS-Protokollierung erfolgt unabhängig voneinander. Diese Protokollierungseinstellungen bleiben so lange gültig, bis die Client-Konsole gesperrt und eine nachfolgende Richtlinie erzwungen wird. HINWEIS: Die Protokollierung kann auch lokal eingestellt werden, indem dem Registrierungsschlüssel HKLM\Software\McAfee\HIP der Wert DWORD 'debug_enabled' hinzugefügt wird. Mit dem Wert 1 wird die ausführliche Debug-Protokollierung aktiviert. Wird die Debug-Protokollierung mit dem lokalen Registrierungsschlüssel aktiviert, werden sämtliche mithilfe von Policy Orchestrator festgelegten Richtlinien überschrieben. So aktivieren Sie die Protokollierung mithilfe von ePolicy Orchestrator: 1 Bearbeiten Sie unter Host IPS: Allgemein die für einen Client geltende Richtlinie "Client-Benutzeroberfläche". 2 Klicken Sie auf die Registerkarte Fehlerbehebung. 3 Legen Sie die erforderlichen Protokollierungseinstellungen fest: • Mit Debug werden alle Meldungen protokolliert. • Mit Informationen werden Informationen, Warnungen und Fehlermeldungen protokolliert. • Mit Warnung werden Warnungen und Fehlermeldungen protokolliert. • Mit Fehler werden Fehlermeldungen protokolliert. • Mit Deaktiviert werden keine Meldungen protokolliert. Die Firewall- und IPS-Protokollierung erfolgt unabhängig voneinander. Diese Protokollierungseinstellungen gelten bis zur nächsten Richtlinienerzwingung. Welche Protokolldateien gehören zur Host IPS-Komponente? Die Hauptprotokolldatei der Host IPS-Komponente ist HipShield.log. Sie kann bis zu 128 MB groß werden und wird mit einer (1) Sicherung rotiert. Die Rotation von Protokolldateien wird über die DWORD-Einträge log_rotate_size_kb und log_rotate_count im Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP gesteuert. Der Schlüssel log_rotate_count bestimmt die Anzahl der zu speichernden Sicherungsdateien. Der DWORD-Eintrag entrylog_rotate_size_kb gibt die ungefähre Größe einer Sicherungsprotokolldatei in KB an, wobei 0 heißt, dass die Protokollrotation deaktiviert ist. Wird die in log_rotate_size_kb angegebene Größe überschritten, wird die Datei geschlossen, und an den Namen wird .1 angehängt. Ist bereits eine Datei mit diesem Namen vorhanden, wird der Wert um eins erhöht. Sobald die festgelegte Anzahl an Sicherungsdateien erreicht ist, wird die älteste Datei gelöscht. HINWEIS: Bei der Erfassung von Daten zu an den Support von McAfee eskalierten Vorfällen wird dringend empfohlen, den Registrierungswert debug_enabled einzurichten und auf 1 zu setzen. Damit werden alle Ereignisse von Host IPS und Netzwerk-IPS in HIPShield.log unabhängig von der Einstellung des Protokollstatus unter den Signatureigenschaften erfasst. Vergewissern Sie sich, dass Sie den Dienst anhalten, alte Protokolldateien löschen, den Dienst neu starten und die Reproduktion durchführen. So kann die Größe der Protokolldateien auf ein Minimum beschränkt werden. Was gibt es bei HipShield.log zu beachten? Die Ausführung der Host IPS-Komponente beginnt mit einer Banneraussage, aus der der ausgeführte Build und der Datums-/Zeitstempel der Sitzung hervorgehen. Jeder Eintrag im HipShield-Protokoll hat einen Datums-/Zeitstempel gefolgt von der Angabe, ob es sich bei den McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 163 Anhang B: Fehlerbehebung Host IPS-Protokolle Daten um Informationen, Debugging- oder Fehlerdaten handelt. Die in der Datei HipShield.log enthaltenen Daten sind Ad-hoc-Daten und variieren je nach Teil der Host IPS-Komponente. Hauptaspekte: • Zeilen, die mit In install modules new beginnen, dienen der Beschreibung der Kopie von Dateien beim Start der Host IPS-Komponente. Werden diese Dateien falsch kopiert, kann die Host IPS-Komponente nicht gestartet werden. • Eine mit Scrutinizer initialized successfully beginnende Zeile gibt an, dass die Host IPS-Komponente mit der Initialisierung von Scrutinizer ordnungsgemäß geladen wurde. Voraussetzung dafür ist, dass die oben erwähnten Dateien wie vorgegeben kopiert wurden. • Eine mit New Process: Pid= beginnende Zeile weist darauf hin, dass die Prozesserstellung mit der Host IPS-Komponente überwacht werden kann. • Eine mit IIS - Start beginnende Zeile bedeutet, dass die IIS-Überwachung beginnt. • Eine mit Scrutinizer started successfully ACTIVATED status beginnende Zeile bedeutet, dass Scrutinizer erfolgreich gestartet wurde. • Eine mit Hooking xxx beginnende Zeile gibt an, dass das Einklinken von Prozessen verarbeitet wird. Die Zahl xxx entspricht der PID (Prozess-ID) des Prozesses, der eingeklinkt wird. • Mit Processing Buffer xxx.scn beginnende Zeilen sind die Ergebnisse der Scanner-Verarbeitung von Scan-Datei xxx.scn, wobei xxx wie oben einem Namen wie EnterceptMgmtServer entspricht. Fehler in der Scanner-Verarbeitung von Scan-Dateien werden hier angegeben. • Zeilen im Format signature=111 level=2, log=True bedeuten, dass eine individuelle Signatur geladen wurde. Signatur-ID und Ebene werden zusammen mit einem Hinweis, ob die Protokollierung für diese Signatur aktiviert ist, angegeben. HINWEIS: Shield.db und except.db werden bei aktivierter Debug-Funktion im selben Verzeichnis erstellt wie die Protokolle. Die Dateien enthalten eine Abbildung der Regeln und Ausnahmen, die an den Kernel übertragen werden, nachdem AgentNT.dll den Inhalt verarbeitet hat. Welche Protokolldateien gehören zur Firewall? Wichtigste Protokolldateien der Firewall und ihr Inhalt: Name Beschreibung Inhalt FireSvc.log Hauptdienstprotokoll • Protokollierung auf Debug-Ebene • Ausgabe zur Speicherortübereinstimmung • Ausgabe zur TrustedSource-Verbindungsauswertung • Fehler/Warnungen • Protokollierung auf Debug-Ebene • Zeitbezogene Statistikwerte zur Richtlinienerzwingung • Fehler/Warnungen • Protokollierung auf Debug-Ebene • Fehler/Warnungen • Protokollierung auf Debug-Ebene • Fehler/Warnungen HipMgtPlugin.log McAfee Agent-Plug-In-Protokoll FireTray.log/McTrayHip.log Tray-Protokoll FireUI.log 164 Client-UI-Protokoll McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Anhang B: Fehlerbehebung Dienstprogramm Clientcontrol.exe Diese Protokolldateien können maximal 100 MB groß werden. Sind größere oder kleinere Dateien gewünscht, kann die Größe durch Einrichten des folgenden Registrierungswerts bestimmt werden: HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\MaxFwLogSize. So legen Sie die Protokollgröße fest: 1 Wählen Sie den Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP aus, klicken Sie mit der rechten Maustaste rechts im Fenster auf eine freie Stelle, und wählen Sie dann Neu, Dword-Wert aus. 2 Benennen Sie den neuen Wert mit MaxFwLogSize. 3 Klicken Sie mit der rechten Maustaste auf MaxFwLogSize, und wählen Sie Ändern aus. 4 Ändern Sie den Wert auf die gewünschte Protokollgröße. Die Maßeinheit sind KB. 5 Klicken Sie auf OK, und schließen Sie dann den Registrierungs-Editor. HINWEIS: Mit dem Registrierungsschlüssel MaxFwLogSize wird die Größe folgender Dateien bestimmt: FireSvc.log, HipMgtPlugin.log, FireTray.log, FireUI.log. Durch Erstellung des Registrierungsschlüssels und Festlegung eines Werts wird die maximale Größe aller dieser Protokolldateien festgelegt. Dienstprogramm Clientcontrol.exe Dieses befehlszeilenbasierte Dienstprogramm unterstützt die Automatisierung von Upgrades und anderen Wartungsaufgaben, wenn Host Intrusion Prevention mithilfe von Software von Drittherstellern auf Client-Computern bereitgestellt wird. Es kann in Skripts zur Installation und Wartung eingebettet werden, um den IPS-Schutz vorübergehend zu deaktivieren und Protokollierungsfunktionen zu aktivieren. Funktionsweise und Einrichtung Mit diesem Dienstprogramm können Administratoren folgende Vorgänge auf dem McAfee Host IPS-Client durchführen: • Host IPS-Dienst starten • Host IPS-Dienst anhalten (Administratorkennwort oder zeitbasiertes Kennwort erforderlich) • Protokollierungseinstellungen ändern (Administratorkennwort oder zeitbasiertes Kennwort erforderlich) • Host IPS-Module starten/anhalten (Administratorkennwort oder zeitbasiertes Kennwort erforderlich) • Aktivitätsprotokoll in formatierte Textdatei exportieren • NaiLite-Lizenzinformationen aus der Registrierung auf dem Client-Computer anzeigen • Konfigurationseinstellungen in formatierte Textdatei exportieren • Konfigurationseinstellungen durch Standardrichtlinieneinstellungen ersetzen • Schutzregeln beim Start von IPS aus der Registrierung exportieren Die Aktivitäten des Dienstprogramms werden in der Datei ClientControl.log erfasst. Diese liegt unter: C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\McAfee\Host Intrusion Prevention; oder C:\Programmdaten\McAfee\Host Intrusion Prevention (Windows Vista, Windows 2008, Windows 7). McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 165 Anhang B: Fehlerbehebung Dienstprogramm Clientcontrol.exe Zum Aktivieren der Protokollierung ändern Sie in der Registrierung den Eintrag HKLM\Software\McAfee\HIP durch Hinzufügen des Eintrags FwLogLevel, Typ DWORD mit einem Wert von 0x7. Anhalten von Host IPS-Diensten Mit dem Parameter /stop werden Host IPS-Dienste angehalten. Voraussetzung ist, dass der Benutzer Administratorrechte hat. Darf der Benutzer Dienste auf dem Computer anhalten, geschieht Folgendes: • Die Host IPS-Dienste werden deaktiviert. Das Kontrollkästchen "Host IPS" auf der Registerkarte "IPS-Richtlinie" wird automatisch deaktiviert. • Die Host IPS-Dienste werden nicht angehalten. In der Datei ClientControl.log wird ein Eintrag erfasst. • McAfee Agent erzwingt die Richtlinien beim nächsten Intervall. • Werden Richtlinien von McAfee Agent erzwungen, während der Schutz deaktiviert ist (z. B. bei der Anwendung von Patches in Windows), kann der entsprechende Vorgang durch die Richtlinien blockiert werden. Auch wenn die Host IPS-Dienste erfolgreich angehalten werden, kann es aufgrund von Richtlinieneinstellungen sein, dass McAfee Agent die Dienste beim nächsten Kommunikationsintervall zwischen Agent und Server (ASCI) wieder startet. Dies kann wie folgt verhindert werden: 1 Öffnen Sie in ePolicy Orchestrator die Richtlinie Host Intrusion Prevention: Allgemein. 2 Wählen Sie die Registerkarte Erweitert aus. 3 Deaktivieren Sie Produktintegritätsprüfung durchführen. 4 Führen Sie eine Agenten-Reaktivierung durch. Befehlszeilensyntax Konventionen: • [ ] bedeutet erforderlich. • [xxx, ...] bedeutet mindestens eine(r, s). • < > bedeutet vom Benutzer eingegebene Daten. Hauptargumente: Pro Aufruf ist nur eines der folgenden Hauptargumente zulässig: • /help • /start • /stop • /log • /engine • /export Beim Ändern von Protokollierungseinstellungen können Sie aber mehrere Protokolloptionen angeben. Wird das Dienstprogramm mit dem Befehl /help ausgeführt, erhalten Sie die aktuelle Hilfe sowie Hinweise. Verwendung: clientcontrol [arg] 166 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Anhang B: Fehlerbehebung Dienstprogramm Clientcontrol.exe Definition von Argumenten: • /help Zeigt die Befehlszeilensyntax und Hinweise an. • /start Startet den Dienst. • /stop <Kennwort> Hält den Dienst an. • /log <Kennwort> [Protokolltyp] [Protokolloptionen] Generiert Protokolle. Die Protokolloptionen werden der Reihe nach verarbeitet. Definitionen von Protokolltypen: • 0 = HIPS (erstellt HipShield.log) • 1 = Firewall (erstellt FireSvc.log) Definitionen für Protokolloptionen: • 0 = Aus • 1 = Fehler • 2 = Warnung • 3 = Info • 4 = Debug • 5 = Sicherheitsverstoß (nur IPS) • /engine <Kennwort> [Modultyp] [Moduloption] Deaktiviert und aktiviert die Module. Definitionen von Modultypen: • 0 = Alle • 1 = Buffer Overflow • 2 = SQL (nur Server) • 3 = Registrierung • 4 = Dienste • 5 = Dateien • 6 = HTTP (nur Server) • 7 = Host IPS API • 8 = Unzulässige Nutzung • 9 = Programm • 10= Einklinken Definitionen von Moduloptionen: • 0 = Aus • 1 = Ein • /export /s <Pfad der Exportquelldatei> <Pfad der Ereignisprotokollexportdatei> Exportiert das Ereignisprotokoll in eine formatierte Textdatei. Der Pfad der Quelldatei muss nicht eingegeben werden. Wenn es keine Quelldatei gibt, geben Sie /s nicht ein. • /readNaiLic McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 167 Anhang B: Fehlerbehebung Dienstprogramm Clientcontrol.exe Zeigt die NaiLite-Lizenzinformationen an. • /exportConfig <Pfad der Exportdatei> <Konfigurationstyp> Exportiert Konfigurationseinstellungen in eine formatierte Textdatei. Definitionen von Konfigurationstypen: • 0 = Alle • 1 = Anwendungsschutz • 2 = Blockierte Hosts • 3 = Firewall • 4 = Benutzerdefinierte Signaturen in Host IPS • 5 = IPS-Ausnahmen • 6 = Einstellungen • 7 = Vertrauenswürdige Anwendungen • 8 = Vertrauenswürdige Netzwerke • 9 = Netzwerk-IPS-Signaturen • 10 = Host IPS-Signaturen • 11 = Host IPS-Module • 12 = Anmeldesitzungen • 13 = DNS-Blockierregeln • /defConfig <Kennwort> Ersetzt im Zusammenhang mit den Einstellungen für Anwendungsschutz, Firewall und vertrauenswürdige Anwendungen die Konfigurationseinstellungen durch standardmäßige Client-Richtlinien. • /bootTimeRules <Kennwort> <Pfad der Exportdatei> Exportiert Regeln beim Start von IPS in eine formatierte Textdatei. HINWEIS: • Zwischen Argument, Kennwort und anderen erforderlichen Parametern muss mindestens ein Leerzeichen sein. Beispielarbeitsabläufe Anwenden eines Patches auf einen Computer mit McAfee Host IPS 1 Öffnen Sie die Eingabeaufforderung. 2 Führen Sie clientcontrol.exe /stop <Kennwort> aus. 3 Warten Sie das System. 4 Führen Sie clientcontrol.exe /start aus (zwecks Neustart der Host IPS-Dienste). Exportieren des Aktivitätsprotokolls von Host IPS in eine Textdatei 1 Öffnen Sie die Eingabeaufforderung. 2 Führen Sie clientcontrol.exe /export <Pfad der Exportdatei> aus. 3 Kopieren Sie die exportierte Protokolldatei zu Erfassungs-, Analyse- oder sonstigen Zwecken auf einen anderen Computer. Aktivieren der Protokollierung bei der Fehlerbehebung 1 168 Öffnen Sie die Eingabeaufforderung. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Anhang B: Fehlerbehebung Dienstprogramm Clientcontrol.exe 2 Führen Sie clientcontrol.exe /log <Kennwort> [Protokolltyp] [Protokolloption, ...] aus. 3 Generieren Sie Protokolleinträge. 4 Prüfen Sie HipShield.log oder FireSvc.log auf wichtige Informationen. Deaktivieren bestimmter Host IPS-Module bei der Fehlerbehebung 1 Öffnen Sie die Eingabeaufforderung. 2 Führen Sie clientcontrol.exe /log <Kennwort> [Modultyp] [Moduloption] aus. 3 Erzeugen Sie mithilfe von Vorgängen Reaktionen und Protokolleinträge. 4 Prüfen Sie HipShield.log oder FireSvc.log auf wichtige Informationen. McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 169 Index A Abfang von Systemaufrufen 34 Abfragen, Host IPS Benutzerdefiniert, Parameter für 14 Berichte 10 Nachverfolgung von Aktivitäten 14 Verwalten von Informationen 13 Vordefiniert und benutzerdefiniert 14 Abschirmen und Umhüllen IPS-Verhaltensregeln und 36 Abschirmung und Umhüllung 34 Adaptiver Modus Anwenden 23 Häufig gestellte Fragen 23 In IPS im Vergleich zur Firewall 23 Regeln nicht automatisch erstellt 23 Ausnahme und 37 Automatische Optimierung 20 Firewall-Regeln, Richtlinien 78 Informationen 10 Richtlinie für IPS-Optionen 39 Richtlinien für Firewall-Optionen 74 Versetzen von Host IPS-Clients in 22, 38 Aktivitätsprotokolle, Host IPS Anpassen von Optionen 110 Anzeigen 109 Arbeiten mit der Registerkarte "Aktivitätsprotokoll" 109 Firewall-Protokollierungsoptionen 101 IPS-Protokollierungsoptionen 100 Löschen von Einträgen 109 Aktualisieren Einchecken von Host IPS-Paketen 30 Host IPS-Inhaltspaket 30 Host IPS-Methoden 31 Signaturen, Host IPS 30 Allgemeine Richtlinien, Host IPS Berechtigungen für 26 Funktionsübersicht 86 Richtlinienseite "Vertrauenswürdige Anwendungen" 94 Anwendungsschutzregeln Arbeiten mit 50 Erstellen 53 Informationen 37 Konfigurieren 52 Prozesse, erlaubt oder blockiert 50 Richtlinie für IPS-Regeln 37, 41, 53 Überblick 50 Ausbringung Ersteinführung von Host IPS-Clients 21 Host IPS-Richtlinien und 10 Nutzungsprofile in Host IPS 10 Server-Tasks für Host IPS 26 Ausnahmeregeln Aggregierung und Client-Regeln 58 170 Ausnahmeregeln (Fortsetzung) Arbeiten mit 53 Ausnahme erstellen 102 Automatische Optimierung 22 Bearbeiten von IPS-Richtlinien 105 Definition 10 Ereignisse und 55 Erstellen 54 Erstellung basierend auf einem Ereignis 55 Informationen 37 Konfigurieren der Richtlinie für IPS-Regeln 54 Liste, Windows-Client und 104 Richtlinie für IPS-Regeln 41, 53 Automatische Antworten, Host IPS Informationen 28, 29 Konfigurieren 19 Regeln und Ereignisse 28 B Basisschutz Host IPS 7 Host IPS-Standardrichtlinien 20 Befehlszeilenoptionen Anhalten des Solaris-Clients 113 Anhalten und Neustarten des Linux-Clients 117 ClientControl.exe, automatische Upgrades 100 Solaris-Client, Neustarten 114 Überprüfen, ob der Linux-Client ausgeführt wird 117 Überprüfen, ob der Solaris-Client ausgeführt wird 113 Benutzerdefinierte Signaturen Abschnittswertvariablen 122 Allgemeine Abschnitte 119 Gültige Richtlinien für Linux 154 Gültige Richtlinien für Solaris 154 Gültige Richtlinien für Windows 143 Linux 146 Linux, UNIX_apache (HTTP) 149 Linux, UNIX_file (Dateien) 146 Linux, UNIX_misc 151 Optionale Abschnitte 121 Platzhalter 122 Regelstruktur 118 Solaris 146 Solaris, UNIX_apache (HTTP) 149 Solaris, UNIX_bo 152 Solaris, UNIX_file (Dateien) 146 Solaris, UNIX_GUID 153 Solaris, UNIX_map 153 Solaris, UNIX_misc 151 Überblick für Linux und Solaris 146 Überblick für Windows 125 Windows, Buffer Overflow 125 Windows, Files 126 Windows, Hook 130 Windows, Illegal 131 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Index Benutzerdefinierte Signaturen (Fortsetzung) Windows, Illegal API Use 130 Windows, Isapi 131 Windows, Program 134 Windows, Registry 136 Windows, Richtlinien für Plattform 143 Windows, Services 139 Windows, SQL 141 Berechtigungssätze Host IPS-Berechtigungen 26 Verwalten einer Host IPS-Ausbringung 26 Wer konfiguriert das System 19 Zuweisen 27 Buffer Overflow IPS-Verhaltensregeln und 36 Konfigurieren der Richtlinie "Vertrauenswürdige Anwendungen" 92 Verhindern auf Solaris-Client 111 Client-Regeln Firewall 74, 83 Erstellen, mit adaptiven und Lernmodi 10 Erzeugen von Ausnahmen 37 Firewall 74, 83 Host IPS-Abfragen 14 IPS 41 Richtlinie für IPS-Regeln, Übersicht 58 Clients Abfragen für Gruppen von 14 Aktualisierung durch Task- oder Agenten-Reaktivierung 31 Analysieren von Daten auf Host IPS-Clients 21 Arbeiten mit, in Host IPS 21 Linux (siehe Linux-Client) 114 Namenskonventionen in Host IPS 21 Optimieren von Host IPS 21 Solaris (siehe Solaris-Client) 111 Windows (siehe Windows-Client) 96 Compliance Konfigurieren anzuzeigender Host IPS-Dashboards 19 Eindringungsschutz (IPS) (Fortsetzung) Anpassen von Optionen 104 Ausnahmen 37 Bearbeiten von Ausnahmeregeln 105 Bereitstellungsmethoden 34 Client-Regeln 14 Client-Regeln, Übersicht 58 Firewall-Protokollierungsoptionen 101 HIPS, über 35 Module und Treiber 34 NIPS, Info 35 Protokollierungsoptionen 100 Reaktionen 36 Richtlinie für den IPS-Schutz 40 Signaturen, definiert 35 Überblick 33 Verhaltensregeln 36 Empfehlungen Einsatz von IPS-Schutz zur Staffelung der Auswirkungen von Ereignissen 10 Host IPS-Ausbringung in mehreren Phasen 21 Logisches Gruppieren von Host IPS-Clients 21 McAfee-Support kontaktieren, um HIPS-Module zu deaktivieren 101 Optimieren von Host IPS-Standardrichtlinien 19 Systeme durch Host IPS-Kriterien gruppieren 10 Ereignisse, Host IPS Automatische Antworten 28, 29 Analysieren und Optimieren 10 Arbeiten mit 55 Ausnahmen 37 Automatische Antworten 28, 29 Firewall, Aktivitätsprotokolle 109 Intrusionswarnungen, reagieren auf 102 Protokollierung und IPS-Ereignisse, Registerkarte 38 Richtlinie für IPS-Regeln 41 Signaturverletzungen 38 Verhaltensregeln 36 Verwalten 56 Erweiterte Eigenschaften, Host IPS Automatische Antworten 29 D F C Dashboards Abfragen und Host Intrusion Prevention 10 Anzeigen von Compliance- und Host IPS-Problemen 19 Standardmäßige Host IPS-Monitore 13 Verwalten von Informationen in Host IPS 13 Dienstprogramm ClientControl Anhalten von Diensten 165 Befehlszeilensyntax 165 Funktionsweise und Einrichtung 165 Verwenden zur Fehlerbehebung 165 Dienstprogramme ClientControl.exe, automatische Upgrades 100 DNS-Blockierungsregeln Erstellen und Bearbeiten 82 E Effektive Richtlinie Mit Richtlinien mit mehreren Instanzen 43 Eindringungsschutz (IPS) Abfang von Systemaufrufen 34 Abschirmung und Umhüllung 34 Adaptiver Modus und Ausnahmen 37 Falsch-Positive Ausnahmen und Richtlinie für IPS-Regeln 53 Optimieren von Host IPS-Richtlinien 10 Richtlinie "Vertrauenswürdige Anwendungen", reduzieren 92 Fehlerbehebung, Host IPS Anwendungsfehler nach Installation von Host Intrusion Prevention 156 Blockieren von Nicht-IP-Datenverkehr 156 Client-Benutzeroberfläche 90 Deaktivieren von Host IPS-Modulen 101 Ermitteln der fehlerverursachenden Komponente 156 Firewall-Protokollierung, Einstellen von Optionen 101 Linux-Client 114, 115 Optionen 100 Prüfen, ob Dienste ausgeführt werden 156 Solaris-Client 112 Tool hipts 112, 115 Verwenden des Dienstprogramms ClientControl 165 Verwenden von Protokollen 162 Windows-Client 100 Filter Abfrage von Host IPS-Aktivitäten 14 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 171 Index Filter (Fortsetzung) Firewall, Funktionsweise der statusbehafteten Filterung 70 Host IPS-Ereignisse und Abfragen 10 Firewall-Regeln Erstellen und Bearbeiten 80 Firewall-Richtlinien, Host IPS Funktionsübersicht 60 Firewall-Schutz Aktivieren 74 Deaktivieren 74 Firewall, Host IPS Statusbehaftete Paketprüfung 69, 71 Abfragen 14 Adaptiver und Lernmodus 73 Aktionen, Zulassen oder Blockieren 70 Anpassen von Optionen 106 Berechtigungen für 26 Client-Regeln 14, 74 DNS-Blockierungsregeln 82 Firewall Optionen, konfigurieren 76 Firewall-Regelgruppen, erstellen 80 Firewall-Regelliste, Reihenfolge 61 Firewall-Regeln 10, 78, 80 Firewall-Regeln, Funktionsweise 61 Firewall-Regeln, konfigurieren 79 Informationen 8 Liste von Regeln 79, 106, 107 Protokollierungsoptionen 101 Regelgruppen 63 Regelgruppen, standortabhängig 63 Regeln, Zulassen oder Blockieren 61 Standortabhängige Gruppen 81 Statusbehaftete Filterung, Funktionsweise 70 Statusbehaftete Paketfilterung 69 Statusbehaftete Paketprüfung 69, 71 Statusbehaftete Protokollverfolgung 72 Statustabelle 69 Überblick 60 Warnungen 103 G Globale Administratoren Berechtigungssätze zuweisen 26 Gruppen, Host IPS Anwenden von Richtlinien 9 Firewall-standortabhängig, erstellen 81 Konfigurationskriterien 10 Löschen von Richtlinien und Vererbung für 18 Richtlinienzuweisung an 9 und Vererbung 9 H Häufig gestellte Fragen Adaptiver Modus 23 Richtlinien mit mehreren Instanzen 43 Host Intrusion Prevention-Signaturen 35 Host IPS Aktivitäten und Dashboards 13 Basisschutz und erweiterter Schutz 7 Berechtigungssätze 26 Einrichten und Optimieren des Schutzes 20 Funktionen und Kategorien 9 Funktionsweise 7 Reagieren auf Warnungen 102 Registerkarte "Intrusionsinformationen" 102 172 Host IPS (Fortsetzung) Richtlinien und ihre Kategorien 9 Richtlinientypen 8 Host IPS-Eigenschaftenübersetzung 28 Host IPS-Katalog Abhängigkeiten 67 Bearbeiten 82 Erklärung 67 Exportieren aus 82 Exportieren nach 82 Filtern 82 Hinzufügen zu 82 Inhalt 67 Verwenden 82 I Informationsmanagement Analysieren von Host IPS-Client-Daten 21 Dashboards und Abfragen für Host IPS 13 Vordefinierte und benutzerdefinierte Abfragen für Host IPS 14 IP-Adresse Firewall-Regeln und 106 Konfigurieren von vertrauenswürdigen Netzwerken 91 Regelgruppen 63 Standortabhängige Gruppen 63 Statusbehaftete Firewall, IPv4 im Vergleich zu IPv6 69 Überwachen blockierter Hosts 108 IPS-Ereignisse Arbeiten mit 55 Ausnahmen erstellen 55 Informationen 38 Überblick 55 Vertrauenswürdige Anwendungen erstellen 55 Verwalten 56 IPS-Schutz Aktivieren 38 Deaktivieren 38 IPS, Host IPS Berechtigungen für 26 K Kennwörter Entsperren der Windows-Client-Konsole 98 für Richtlinie "Client-Benutzeroberfläche" 89 Verwenden des Fehlerbehebungstools hipts 112 L Lernmodus Firewall-Regeln 73 Firewall-Regeln, Richtlinien 78 Informationen 10 Richtlinien für Firewall-Optionen 74 Versetzen von Host IPS-Clients in 22 Linux-Client 114, 115, 116, 117 Anhalten und Neustarten 117 Aspekte 115 Fehlerbehebung 115, 117 Richtlinienerzwingung 114 Überblick 114 Überprüfen der Installationsdateien 116 M Migration Richtlinien 24 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Index Migration (Fortsetzung) Richtlinienversion 7 auf 8 24 N Network Intrusion Prevention-Signaturen 35 Netzwerkadapter Bedingungen zum Erlauben einer Verbindung 63 NIPS (Network Intrusion Prevention-Signaturen) 108 Nutzungsprofile Gruppieren von Host IPS-Systemen 10 Optimieren von Host IPS-Richtlinien 10 O Optimieren von Host IPS Adaptiver Modus und Lernmodus 22 Analysieren von Ereignissen 17 Manuell und automatisch 20 Nutzungsprofile 10 Richtlinien "Vertrauenswürdige Anwendungen" 92 Richtlinienverwaltung 10 Standardrichtlinien und 19 P Pakete Aktualisieren des Host IPS-Inhaltes 30 Platzhalter Firewall-Regeln 84 IPS-Regeln 49 Benutzerdefinierte Signaturen 122 Ports Blockierter Datenverkehr und Firewall-Regeln 73 Firewall und Einträge der Statustabelle 69 FTP-Verbindungen und statusbehaftete Paketprüfung 71 Verbindungen und Firewall-Warnungen 103 Protokolldateien, Host IPS Fehlerbehebung 112, 115 Fehlerbehebung für die Client-Benutzeroberfläche 90 Firewall-Aktivität 101 IPS-Aktivität 100 Linux-Client, Installationsverlauf 116 Solaris-Client, Installationsverlauf 113 Protokolle Aktivieren 162 FireSvc.log 162 Für Firewall-Funktion 162 Für IPS-Funktion 162 HipShield.log 162 Statusbehaftete Firewall, Nachverfolgung 72 Verwenden zur Fehlerbehebung 162 R Reaktionen Einstellung, für Signaturschweregrade 41 Firewall-Warnungen, Reagieren auf 103 Informationen 36 Intrusionswarnungen, reagieren auf 102 IPS-Schutz konfigurieren 40 Typen 36 Warnungen bei erkanntem Spoofing, reagieren auf 103 Zuordnung zu IPS-Schweregrad 10 Reaktivierungen Aktualisieren von Host IPS-Clients 31 Regelgruppen, Host IPS Firewall-Regelgruppen, erstellen 80 Regellisten Ausnahmen für Host IPS 104 Firewall-Regeln für Host IPS 107 Regelstruktur Benutzerdefinierte Signaturen 118 Registerkarte "Blockierte Hosts", Arbeiten mit 108 Richtlinie "Client-Benutzeroberfläche" Definieren 87 Fehlerbehebung 90 Informationen 8 Kennwörter 89 Konfigurieren 87 Optionen 99 Registerkarte "Allgemein", konfigurieren 88 Taskleistensteuerung, konfigurieren 88 Überblick 86 Richtlinie "Firewall-DNS-Blockierung" Definieren 78 Informationen 8 Überblick 60 Richtlinie "Firewall-Optionen" TrustedSource 77 Arbeiten mit 74 Informationen 8 Konfigurieren 76 Überblick 60 Richtlinie "Firewall-Regeln" Platzhalter 84 Client-Regeln, verwalten 83 Definieren 78 Gruppen, erstellen 80 Informationen 8 Konfigurieren 79 Überblick 60 Richtlinie "McAfee-Standard" Client-Benutzeroberfläche 87 DNS-Blockierung 78 Firewall-Optionen 74 Firewall-Regeln 78 Host IPS 9 IPS-Optionen 38 IPS-Regeln 41 IPS-Schutz 40 Vertrauenswürdige Anwendungen 92 Vertrauenswürdige Netzwerke 91 Richtlinie "Mein Standard" Client-Benutzeroberfläche 87 DNS-Blockierung 78 Firewall-Optionen 74 Firewall-Regeln 78 Host IPS 9 IPS-Optionen 38 IPS-Regeln 41 IPS-Schutz 40 Vertrauenswürdige Anwendungen 92 Vertrauenswürdige Netzwerke 91 Richtlinie "Vertrauenswürdige Anwendungen" Definieren 92 Erstellen und Bearbeiten 94 False-Positives, reduzieren 86 Informationen 8 Überblick 86 Richtlinie "Vertrauenswürdige Netzwerke" Definieren 91 False-Positives, reduzieren 86 Informationen 8 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 173 Index Richtlinie "Vertrauenswürdige Netzwerke" (Fortsetzung) Konfigurieren 91 Überblick 86 Vorrang und 91 Richtlinie für den IPS-Schutz Arbeiten mit 40 Informationen 8 Konfigurieren 41 Reaktionen, einstellen 41 Schweregrade, Einstellung 40 Überblick 33 Richtlinie für IPS-Optionen Adaptiver Modus 38 Arbeiten mit 38 Informationen 8 Konfigurieren 39 Überblick 33 Vordefinierte Richtlinien 39 Richtlinie für IPS-Regeln Platzhalter 49 Anwendungsschutzregeln 37, 50, 52 Anwendungsschutzregeln, konfigurieren 42 Arbeiten mit Signaturen 44 Ausnahmen, konfigurieren 42 Ausnahmeregeln 53 Definieren 41 Ereignisprotokollierung 38 Ereignisse, arbeiten mit 55 Informationen 8 Konfigurieren 42, 52 Signaturen, konfigurieren 42 Überblick 33 Verwalten von Ausnahmen 54 Richtlinien mit mehreren Instanzen Bei der Ausbringung verwenden 43 Effektive Richtlinie 43 Häufig gestellte Fragen 43 Zuweisen 42, 94 Richtlinien, Host IPS Migration 24 Anwenden von Richtlinien 9 Anzeigen von Richtlinien 18 außer Kraft setzen, durch Client-Ausnahmen 10 Client-Regeln, Erstellen von Ausnahmen 10 Definition 9 Firewall (siehe Firewall, Host IPS) 8 Firewall-DNS-Blockierung 78 Firewall-Optionen 74, 76 Firewall-Regeln 78, 79 Funktionsübersicht 8, 33 Konfigurieren von IPS-Optionen 39 Mehrere Instanzen 42, 94 Neu erstellen 19 Nutzungsprofile und Optimierung 10 Optimieren von Standards 19 Reagieren auf Warnungen 103 Richtlinienkatalog 18 Standardwerte, Basisschutz 7 Suchen 18 und ihre Kategorien 9 Vererbung 10 Verwalten 18 vordefinierter Schutz 10 Zugewiesener Eigentümer 9 Zuweisen 20 174 Richtlinienerzwingung Host IPS 9 Host IPS-Client und ePO 7 Linux-Client und 114 Solaris-Client und 111 Richtlinienkatalog Benutzerdefinierte Firewall-Richtlinien, erstellen 74, 78 Client-Benutzeroberfläche 87 Eigentümerschaft für Host IPS-Richtlinien 8 Vertrauenswürdige Anwendungen 92 Vertrauenswürdige Netzwerke 91 Verwalten von Host IPS-Richtlinien 18 Richtlinienverwaltung Analysieren von Host IPS-Ereignissen und Client-Regeln 17 Linux-Client und 114 Nachverfolgung von Host IPS-Richtlinien 10 Optimieren von Host IPS 10, 20 Registerkarte "Richtlinien", Host IPS 18 Zugriff auf Host IPS-Richtlinien 18 Richtlinienzuweisung Aktivieren des Firewall-Schutzes 74 Ändern 20 Host IPS 9 S Schweregrade, IPS Arbeiten mit Signaturen 44 Einrichten und Optimieren des Schutzes 20 Ereignisse und 55 Optimieren 10, 19 Reaktionen einstellen für 41 Richtlinie für den IPS-Schutz 40 Zuordnung zu einer Reaktion 10 Server-Tasks, Host IPS Abfrage ausführen 28 Abfragen exportieren 28 Bedrohungsereignisprotokoll bereinigen 28 Eigenschaftenübersetzung 28 Einchecken von Aktualisierungen 30 Ereignisprotokoll bereinigen 28 Repository-Abruf 28 Richtlinien exportieren 28 Verwalten von Ausbringungen 26, 28 Signaturen Arbeiten mit 44 Ausnahmen 37 Ausnahmeregelliste 104 Benutzerdefiniert 44 Definition 35 Erstellen mit dem Expertenverfahren 47 Erstellen mit dem Standardverfahren 47 Erstellen von benutzerdefinierten Host IPS 47 HIPS, über 35 Host 44 Host IPS und Ausnahmen 102 Konfigurieren der Richtlinie für IPS-Regeln 46 Mithilfe des Assistenten erstellen 48 Netzwerk 44 NIPS, Info 35 Optimieren von Host IPS-Richtlinien 10 Richtlinie für IPS-Regeln 41 Schweregrade 44 Schweregrade für 40 Standard-Host IPS 44 Typen 44 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 Index Signaturen (Fortsetzung) Warnungen und NIPS-Signaturen 102 Signatursicherheitsstufen Typen 44 Solaris-Client Anhalten und Neustarten 113, 114 Fehlerbehebung 112 Installationsdateien 113 Richtlinienerzwingung 111 Überblick 111 Überprüfen, ob der Client ausgeführt wird 113 Verhindern von Pufferüberläufen 111 Sprache, Host IPS Einstellen von Optionen für Clients 99 Standortabhängige Gruppen Erstellen 81 Konnektivitätsisolation 65 Statusbehaftete Firewall Funktionsweise der statusbehafteten Filterung 70 Paketprüfung, Funktionsweise 71 Protokollverfolgung 72 Statustabelle, Firewall Funktionalität 69 Überblick 69 Systemverwaltung Automatische Antworten für Host IPS-Ereignisse 28 Aktualisieren des Host IPS-Schutzes 30 Server-Tasks für Host IPS 26, 28 T Taskleistensymbol Deaktivieren einer Host IPS-Funktion 88 Einstellen von Client-Optionen 99 TrustedSource Definition 77 Funktionsweise 77 Häufig gestellte Fragen 77 Richtlinie "Host IPS-Firewall-Optionen" 77 U Überwachte Prozesse, anzeigen 109 V Verhaltensregeln Abschirmen und Umhüllen 36 Legitime Host IPS-Aktivität definieren 36 Vertrauenswürdige Anwendungen Definition 10 Erstellen einer Liste im Host IPS 92 Erstellen und Bearbeiten, im Host IPS 94 Erstellung basierend auf einem Ereignis 55 Vertrauenswürdige Anwendungen (Fortsetzung) Konfigurieren, im Host IPS 93 Richtlinie für IPS-Regeln 55 Vorkonfigurierte Richtlinien Client-Benutzeroberfläche 87 Firewall-Regeln 78 IPS-Optionen 38 IPS-Schutz 40 Vertrauenswürdige Anwendungen 92 Vertrauenswürdige Netzwerke 91 Vorrang Allgemeine Richtlinien, Host IPS und 86 Firewall-Regelliste 61 Netzwerk-IPS und IP-Adressen 91 Richtlinie "Vertrauenswürdige Netzwerke" 91 W Warnungen bei erkanntem Spoofing 103 Warnungen, Host IPS Einstellen von Optionen für Clients 99 Firewall 103 Intrusionswarnungen 102 Lernmodus und unbekannter Netzwerkverkehr 73 Reagieren auf 102, 103 Spoofing erkannt 103 Windows-Clients 102 Windows-Client Ausnahmeregeln für IPS-Richtlinien 104, 105 Fehlerbehebung 100, 101 Firewall-Regelliste 106 Firewall-Regeln, erstellen und bearbeiten 107 IPS-Richtlinien, Arbeiten mit 104 IPS-Richtlinien, bearbeiten 105 Registerkarte "Aktivitätsprotokoll" 109, 110 Registerkarte "Anwendungsschutz" 109 Registerkarte "Blockierte Hosts" 108 Registerkarte "Firewall-Richtlinie" 106 Registerkarte "IPS-Richtlinie" 104 Überblick 96 Warnungen 102 Windows-Client-Konsole Anpassen je Client 99 Entsperren der Benutzeroberfläche 98 Methoden zum Öffnen 98 Taskleistenmenü 96 Überblick 96 Z Zulassen oder Blockieren von Aktionen Netzwerk-Kommunikationen, Firewall-Richtlinie 106 Statusbehaftete Firewall-Filterung 70 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5 175 Index 176 McAfee Host Intrusion Prevention 8.0 Handbuch für ePolicy Orchestrator 4.5