McAfee - Možnosti konfigurace HIPS8.0
Z HelpDesk
Stránka věnovaná možnostem nastavení modulu Host Intrusion Prevention System - HIPS8.0. Jsou zde popsány jednotlivé skupiny nastavení (tzv. policies), co jednotlivé položky znamenají a jaké je jejich doporučené nastavení. V lepších případech je i vysvětleno proč :-). Další informace naleznete také v anglickém návodu od společnosti McAfee.
Host Intrusion Prevention 8.0: General
Client UI (Windows)
General Settings
- Display options
- Účel: Možnosti zobrazení komponent McAfee
- Nastavení: "Show Tray Icon", "Show products in Add/Remove Program list"
- Upon intrusion event
- Účel: Nastavení chování při detekci/zabránění průniku
- Nastavení: "Flash tray icon"
Advanced Options
- Advanced options - Product integrity check enabled
- Účel: Ověřovat integritu svých součástí
- Nastavení: zapnuto
- Advanced options - Manual creation of client rules (for all features) enabled
- Účel: Umožnit uživatelům přidávat vlastní pravidla
- Nastavení: zapnuto
- Administrator password to unlock the UI
- Účel: Ochrana přístupu ke změně (nelze vypnout)
- Nastavení: mcafee-zcu (raději bych měli vypnuto)
- Client UI language setting
- Účel: Výběr jazyka
- Nastavení: "Automatic"
- Disabling features
- Účel: Umožnění dočasně vypnout jednotlivé kompotenty
- Nastavení: zapnuto pro IPS i FW, vypnuto přenastavení při policy enforcement
- Time-based password
- Účel: Nastavení jednorázových hesel pro odemknutí GUI
- Nastavení: vypnuto
Troubleshooting
- Firewall logging
- Účel: Nastavení úrovně logování firewallu
- Nastavení: "Information"
- IPS logging
- Účel: Nastavení úrovně logování IPS
- Nastavení: "Information", logovat "Security violations"
- Activity log size (MB):
- Účel: Omezení velikosti logu
- Nastavení: 10 MB
- Enable IPS engines
- Účel: Nastavení aktivních součástí
- Nastavení: všechn zapnuty
Trusted Application (All Platforms)
Seznam důvěryhodných aplikací od výrobce - nezměněno.
Trusted Networks (Windows)
- Include local subnet automatically
- Účel: Lokální podsíť je automaticky považována za důvěryhodnou.
- Nastavení: zapnuto
- Trusted networks
- Účel: Doplnění dalších důvěryhodných CIDR
- Nastavení: nedoplněno nic dalšího
Host Intrusion Prevention 8.0: Firewall
DNS Blocking (Windows)
- Blocked Domains
- Účel: Nastavení seznamu blokovaných domén (pro síťovou komunikaci)
- Nastavení: prázdný seznam
Firewall Options (Windows)
- Firewall status
- Účel: Nastavení provozního režimu firewallu
- Nastavení: Learn mode pro příchozí i odchozí spojení
- Firewall status - Allow traffic for unsupported protocols
- Účel: Možnost povolit komunikaci protokolů, které firewall neumí filtrovat
- Nastavení: vypnuto
- Firewall status - Allow bridged traffic
- Účel: Povolení bridgovaného provozu (vrstva 2)
- Nastavení: vypnuto
- Firewall client rules
- Účel: Ponechání uživatelem vytvořených pravidel i při vynucení politik.
- Nastavení: zapnuto
- Startup protection
- Účel: Filtrovat veškerý příchozí provoz dokud není spuštěna komponenta HIPS
- Nastavení: vypnuto
- Protection options: - Enable IP spoof protection
- Účel: Zapnutí ochrany proti podvržení IP adresy ve filtrované spojení
- Nastavení: zapnuto
- Protection options: - Send events to ePO for TrustedSource violations
- Účel: Posílat provoz odpovídající databázi TrustedSource na ePO jako událost.
- Nastavení: zapnuto
- Protection options: - Incoming TrustedSource block threshold
- Účel: Nastavení prahu pro blokování příchozích spojení s ohledem na databázi TrustedSource
- Nastavení: vypnuto (např. ping je High Risk a nefungoval by)
- Protection options: - Outgoing TrustedSource block threshold
- Účel: Nastavení prahu pro blokování odchozích spojení s ohledem na databázi TrustedSource
- Nastavení: vypnuto (odchozí je v zásadě "vždy" žádané)
- Stateful firewall settings
- Účel: Povolení stavového filtrování pro FTP
- Nastavení: zapnuto, timeouty 30s
Firewall Rules (Windows)
V této konfigurační politice jsou specifikována jednotlivá pravidla pro filtrování síťové komunikace. Více o způsobu zádávání pravidel v modulu HIPS 8.0 se dočtete v dokumentu McAfee - Pravidla firewallu v HIPS 8.0.
Host Intrusion Prevention 8.0: IPS
IPS Options (All Platforms)
- IPS options - Enable host IPS
- Účel: Ativovat Intrusion Prevention System na stanicích
- Nastavení: zapnuto
- IPS options - Enable adaptive mode (rules are learned automatically)
- Účel: Adaptivní mód - automatické přidávání pravidel IPS
- Nastavení: vypnuto
- IPS options - Retain existing client rules when this policy is enforced
- Účel: Ponechat uživatelem vytvořená pravidla IPS na stanici při vynucení politik.
- Nastavení: zapnuto
- Windows only - Enable network IPS
- Účel: Aktivovat IPS pro síťové rozhraní
- Nastavení: zapnuto, automaticky blokovat útočníky na 10 minut,
- Windows only - Retain blocked hosts
- Účel: Ponechat útočníky zablokované i při vynucení politik.
- Nastavení: zapnuto (tj. vynucení politik nesmaže seznam, útočník je odstraněn po 10 minutách dle předchozího nastavení)
- Windows only - Automatically include network-facing and service-based applications in the application protection list
- Účel: Povolit klientovi automaticky přidávat do seznamu chráněných aplikací všechny takové, které pracují se sítí nebo mají charakter služby.
- Nastavení: zapnuto
- Windows only - Startup IPS protection enabled
- Účel: Povolit ochranu vybraných (společností McAfee) souborů a registrů než naběhne komponenta IPS
- Nastavení: vypnuto
IPS Protection (All Platforms)
- Reaction based on signature severity level:
- Účel: Nastavení reakce systému na detekovaný průnik
- Nastavení: High - Prevent, Medium - Log, Low - Log, Information - Ignore
IPS Rules (All Platforms)
Obsahuje seznam dostupných pravidel, ponecháno implicitní nastavení McAfee