McAfeeHostIntrusionPrevention8b2b-download.mcafee.com/products/evaluation/host_intrusion_preve… · • Lesapplicationsetprocessusprédéfinissontprotégés. • Pourlaprotectionparpare-feu:

McAfee Host Intrusion Prevention 8.0Guide Produit à utiliser avec ePolicy Orchestrator 4.0

COPYRIGHT

Copyright © 2010 McAfee, Inc. Tous droits réservés.

Aucune partie de cette publication ne peut être reproduite, transmise, transcrite, stockée dans un système d'archivage ou traduite dans touteautre langue, sous quelque forme ou par quelque moyen que ce soit sans l'autorisation écrite de McAfee, Inc., de ses fournisseurs ou de sessociétés affiliées.

DROITS DE MARQUES

AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCEEXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN etWEBSHIELD sont des marques commerciales déposées ou des marques commerciales de McAfee, Inc. et/ou de ses sociétés affiliées aux Etats-Uniset/ou dans d'autres pays. La couleur rouge McAfee utilisée pour identifier des fonctionnalités liées à la sécurité est propre aux produits de lamarque McAfee. Toutes les autres marques commerciales déposées ou non déposées citées dans ce document sont la propriété exclusive deleurs détenteurs respectifs.

INFORMATIONS DE LICENCE

Accord de licence

À L'ATTENTION DE TOUS LES UTILISATEURS : VEUILLEZ LIRE ATTENTIVEMENT L'ACCORD LÉGAL APPROPRIÉ CORRESPONDANT À LA LICENCEQUE VOUS AVEZ ACHETÉE, QUI DÉFINIT LES CONDITIONS GÉNÉRALES D'UTILISATION DU LOGICIEL SOUS LICENCE. SI VOUS NE CONNAISSEZPAS LE TYPE DE LICENCE QUE VOUS AVEZ ACQUIS, CONSULTEZ LES DOCUMENTS DE VENTE, D'ATTRIBUTION DE LICENCE OU LE BON DECOMMANDE QUI ACCOMPAGNENT LE LOGICIEL OU QUE VOUS AVEZ REÇUS SÉPARÉMENT LORS DE L'ACHAT (SOUS LA FORME D'UN LIVRET,D'UN FICHIER SUR LE CD-ROM DU PRODUIT OU D'UN FICHIER DISPONIBLE SUR LE SITE WEB À PARTIR DUQUEL VOUS AVEZ TÉLÉCHARGÉLE PACKAGE LOGICIEL). SI VOUS N'ACCEPTEZ PAS TOUTES LES DISPOSITIONS DE CET ACCORD, NE PROCÉDEZ PAS À L'INSTALLATION DULOGICIEL. LE CAS ÉCHÉANT, VOUS POUVEZ RETOURNER LE PRODUIT À MCAFEE OU À VOTRE REVENDEUR AFIN D'EN OBTENIR LEREMBOURSEMENT INTÉGRAL.

Guide Produit de McAfee Host Intrusion Prevention 8.0 pour ePolicy Orchestrator 4.02

Table des matièresIntroduction de Host Intrusion Prevention. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

Protection Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Stratégies Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Gestion des stratégies Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Suivi et réglage des stratégies Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Gestion de votre protection. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

Gestion des informations. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Tableaux de bord Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Requêtes Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Gestion des stratégies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Où trouver les stratégies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Configuration des stratégies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Protection et réglage par défaut. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Migration des stratégies Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Gestion du système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Ensembles d'autorisations Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Tâches serveur Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

Notifications d'événements Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

Mises à jour de la protection Host IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

Configuration des stratégies IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32

Présentation des stratégies IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

Méthodes de mise en place de la protection IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Signatures. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

Règles comportementales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Réactions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

Exceptions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

Règles de protection des applications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Evénements. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Activation de la protection IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Configuration de la stratégie Options IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Définition de la réaction relative aux signatures IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

3Guide Produit de McAfee Host Intrusion Prevention 8.0 pour ePolicy Orchestrator 4.0

Configuration de la stratégie Protection IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

Définition de la protection IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

Configuration de la stratégie Règles IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Affectation de plusieurs instances de la stratégie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

FAQ : Stratégies à plusieurs instances. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Fonctionnement des signatures IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

Fonctionnement des règles IPS de protection des applications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

Fonctionnement des exceptions IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

Surveillance des événements IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

Gestion des événements IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

Création d'une exception à partir d'un événement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

Création d'une application approuvée à partir d'un événement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

Surveillance des règles IPS de client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

Gestion des règles IPS de client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

Configuration des stratégies de pare-feu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58

Présentation des stratégies Pare-feu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

Fonctionnement des règles de pare-feu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Fonctionnement des groupes de règles de pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Fonctionnement du catalogue Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

Filtrage et inspection des paquets du pare-feu avec état. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

Incidence des modes d'apprentissage et adaptatif sur le pare-feu. . . . . . . . . . . . . . . . . . . . . . . . . . . 70

Règles de pare-feu pour le client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

Activer la protection par pare-feu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

Configuration de la stratégie Options de pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

FAQ : McAfee TrustedSource et le pare-feu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

Définir la protection par pare-feu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

Configuration de la stratégie Règles de pare-feu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

Création et modification de règles de pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

Création et modification de groupes de règles de pare-feu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

Création de groupes d'isolement de connexion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

Blocage du trafic DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

Utilisation du catalogue Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

Gestion des règles de pare-feu pour le client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

FAQ : Utilisation des caractères génériques dans les règles de pare-feu. . . . . . . . . . . . . . . . . . . . . . 80

Configuration des stratégies générales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .82

Présentation des stratégies générales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

Définition des fonctionnalités du client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83


Table des matières

Configuration d'une stratégie Interface utilisateur du client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

Configuration des options générales de l'interface utilisateur du client. . . . . . . . . . . . . . . . . . . . . . . 84

Configuration des options avancées de l'interface utilisateur du client et des mots de passe. . . . . . 84

Configuration des options de dépannage de l'interface utilisateur du client. . . . . . . . . . . . . . . . . . . . 86

Définition des réseaux approuvés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

Configuration d'une stratégie Réseaux approuvés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

Définition des applications approuvées. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

Configuration d'une stratégie Applications approuvées. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

Création et modification de règles d'applications approuvées. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

Affectation de plusieurs instances de la stratégie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

Utilisation des clients Host Intrusion Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .91

Présentation du client Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

Menu de l'icône de la barre d’état système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

Console client pour les clients Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

Déverrouillage de l'interface du client Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

Configuration des options de l'interface utilisateur du client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94

Dépannage du client Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

Alertes client Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

A propos de l'onglet Stratégie IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

A propos de l'onglet Stratégie de pare-feu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

A propos de l'onglet Hôtes bloqués. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102

Modification de la liste des Hôtes bloqués. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

A propos de l'onglet Liste de protection des applications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

A propos de l'onglet Journal d'activité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

Présentation du client Solaris . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

Mise en œuvre des stratégies avec le client Solaris. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

Dépannage du client Solaris. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

Présentation du client Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

Mise en œuvre des stratégies avec le client Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

Remarques concernant le client Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

Dépannage du client Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

Annexe A : Création d'exceptions et de signatures personnalisées. . . . . . . . . . . . . . .113

Structure d'une règle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

Sections communes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

Sections communes facultatives. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116

Caractères génériques et variables. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

Signatures personnalisées Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119


Table des matières

Classe Windows Buffer Overflow. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120

Class Files Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121

Classe Windows Hook. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124

Classe Windows Illegal API Use (Host IPS). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

Classe Windows Illegal Use. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126

Classe Windows Isapi (HTTP). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126

Classe Windows Program. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129

Classe Windows Registry. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

Class Services Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

Classe Windows SQL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

Classes et directives pour plate-forme Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

Signatures personnalisées non Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140

Classe UNIX_file Solaris/Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140

Class UNIX_apache Solaris/Linux (HTTP). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143

Classe UNIX_Misc Solaris/Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

Classe UNIX_bo Solaris. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146

Classe UNIX_map Solaris. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147

Classe UNIX_GUID Solaris. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147

Classes et directives pour plate-forme UNIX. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

Annexe B : Dépannage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .150

Problèmes généraux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150

Journaux Host IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156

Utilitaire Clientcontrol.exe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159


Table des matières

Introduction de Host Intrusion PreventionMcAfee® Host Intrusion Prevention est un système de détection et de prévention des intrusionsbasé sur l'hôte et protégeant les ressources et applications du système contre les attaquesexternes et internes. Il fournit une solution facile à gérer et évolutive pour prévenir les intrusionssur les postes de travail, ordinateurs portables et serveurs dits critiques tels que les serveursweb et serveurs de base de données. Sa technologie brevetée bloque les attaques de type« jour zéro » et les attaques connues.

Host Intrusion Prevention (parfois abrégé dans le produit sous la forme Host IPS ou HIP) peutprotéger des informations et empêcher la mise à mal des ressources et applications du systèmeet du réseau qui stockent et fournissent des informations. Il utilise pour cela une fonction depare-feu de poste client et une fonction de système de prévention des intrusions (IPS). Lafonction IPS dispose de mises à jour de contenu mensuelles, ce qui réduit l'urgence des patchspour les nouvelles menaces. La fonction de pare-feu Host Intrusion Prevention peut être achetéeséparément ou en association avec la fonction Host Intrusion Prevention IPS.

Host Intrusion Prevention est totalement intégré à ePolicy Orchestrator et utilise sa structurepour fournir et mettre en œuvre les stratégies. Cette approche offre une solution de gestionunique qui permet un déploiement massif d'un maximum de 100 000 systèmes dans plusieurslangues sur la totalité d'une entreprise, pour une couverture véritablement complète.

Table des matières

Protection Host IPS

Stratégies Host IPS

Gestion des stratégies Host IPS

Suivi et réglage des stratégies Host IPS

Protection Host IPSAprès l'installation de tous les composants requis pour Host Intrusion Prevention et une fois lacommunication établie, vous êtes prêt à appliquer la protection, surveiller les événements etmettre à jour les stratégies et le contenu selon les besoins.

Protection de base

Host Intrusion Prevention comprend un ensemble de paramètres par défaut qui fournissentune protection de base pour votre environnement. Ces paramètres comprennent :

• Pour la protection IPS :

• Les signatures à niveau de gravité élevé sont interdites et toutes les autres signaturessont ignorées.

• Les applications McAfee sont incluses comme applications approuvées pour toutes lesrègles, sauf les règles d'auto-protection IPS.


• Les applications et processus prédéfinis sont protégés.

• Pour la protection par pare-feu :

• Une connectivité réseau de base est autorisée.

REMARQUE : lors de la première installation de Host Intrusion Prevention 8.0, aucune protectionn'est activée. Vous devez activer la protection dans la stratégie Options IPS ou Options depare-feu et appliquer la stratégie au client.

Protection avancée

Pour la protection avancée, passez des paramètres par défaut aux paramètres prédéfinis plusstricts, ou créez des paramètres personnalisés.

Commencez par un déploiement test pour surveiller et régler les nouveaux paramètres. Leréglage implique l'équilibrage de la protection de prévention des intrusions et l'accès auxinformations requises et aux applications par type de groupe.

Stratégies Host IPSUne stratégie est un ensemble de paramètres que vous configurez et mettez en œuvre à l'aidede la console ePolicy Orchestrator. La mise en œuvre de stratégies permet de garantir lasatisfaction de vos besoins en matière de sécurité sur des systèmes managés. Host IntrusionPrevention propose trois fonctions de stratégies, chacune possédant son jeu d'options desécurité. En voici la liste : IPS, Pare-feu et Générale. Les fonctions IPS et de pare-feucontiennent une stratégie « règles » précisant les règles qui définissent un comportement etune stratégie « options » qui active ou désactive ces règles.

La propriété des stratégies est affectée dans le Catalogue de stratégies. Après la créationd'une stratégie, elle peut être modifiée ou supprimée uniquement par le créateur de cettedernière, la personne considérée comme un propriétaire de la stratégie ou l'administrateurglobal. La suppression d'une stratégie peut se faire uniquement à partir du Catalogue destratégies.

Stratégies IPS

La fonction IPS contient trois stratégies protégeant les ordinateurs Windows et non Windows.Elle détaille les exceptions, signatures, règles de protection des applications, événements etexceptions générées par le client.

• Options IPS (toutes les plates-formes). Cette stratégie active ou désactive la protectionIPS et l'application du mode adaptatif pour les réglages.

• Protection IPS (toutes les plates-formes). Définit la réaction de protection face auxévénements que génèrent les signatures.

• Règles IPS (toutes les plates-formes). Définit les exceptions, signatures et les règles deprotection des applications. Il s'agit d'une stratégie à plusieurs instances, qui autorisel'affectation de plusieurs stratégies IPS à un système, au lieu d'une. La stratégie appliquéerésulte alors du contenu fusionné des stratégies. Si des paramètres sont en conflit, leparamètre explicite apportant le plus haut niveau de protection est appliqué.

Introduction de Host Intrusion PreventionStratégies Host IPS


Stratégies de pare-feu

La fonction de pare-feu contient trois stratégies protégeant uniquement les ordinateurs Windows.Elle permet de filtrer le trafic réseau. Le passage du trafic légitime par le pare-feu est autoriséet le reste est bloqué.

• Options de pare-feu (Windows uniquement). Cette stratégie active ou désactive laprotection par pare-feu et l'application du mode adaptatif ou d'apprentissage pour lesréglages.

• Règles de pare-feu (Windows uniquement). Définit les règles de pare-feu.

• Blocage DNS du pare-feu (Windows uniquement). Définit les serveurs de noms de domaineà bloquer.

Stratégies générales

La fonction Générale contient trois stratégies qui peuvent s'appliquer aux fonctions IPS etPare-feu.

• Interface utilisateur du client (Windows uniquement). Définit l'accès à l'interfaceutilisateur de Host Intrusion Prevention sur les systèmes clients Windows, notamment lesoptions de dépannage. Fournit également une protection par mot de passe sur tous lessystèmes clients autres que Windows.

• Réseaux approuvés (Windows uniquement). Répertorie les réseaux et les adresses IPsécurisés pour la communication. Utilisée avec les fonctions IPS et de pare-feu.

• Applications approuvées (toutes les plates-formes). Répertorie les applications approuvéespour l'exécution de la plupart des opérations. Utilisée avec la fonction IPS. Il s'agit égalementd'une stratégie à plusieurs instances, qui autorise l'affectation de plusieurs stratégiesApplications approuvées à un système, au lieu d'une. La stratégie appliquée résulte ducontenu fusionné des stratégies. Si des paramètres sont en conflit, le paramètre apportantle plus haut niveau de protection est appliqué.

Gestion des stratégies Host IPSLa console ePolicy Orchestrator vous permet de configurer les stratégies Host Intrusion Preventiondepuis un emplacement centralisé.

Mise en œuvre des stratégies

Lorsque vous modifiez des stratégies Host Intrusion Prevention sur la console ePolicyOrchestrator, les modifications apportées sont effectives sur les systèmes managés lors de lacommunication agent-serveur suivante. Par défaut, cet intervalle est défini pour que lacommunication soit initiée toutes les 60 minutes. Pour mettre les stratégies en œuvreimmédiatement, vous pouvez envoyer un appel de réactivation de l'agent depuis la consoleePolicy Orchestrator.

Stratégies et leurs catégories

Les informations sur les stratégies pour Host Intrusion Prevention sont regroupées par fonctionet catégorie. Chaque catégorie de stratégie représente un sous-ensemble spécifique de stratégies.

Une stratégie est un groupe de paramètres configurés dans un but spécifique. Vous pouvezcréer, modifier ou supprimer autant de stratégies que vous le souhaitez.

Introduction de Host Intrusion PreventionGestion des stratégies Host IPS


Pour chaque stratégie, une stratégie McAfee par défaut est préconfigurée, qui ne peut êtremodifiée, ni supprimée. A l'exception des Règles IPS et des Applications approuvées, toutes lesstratégies comportent également une stratégie Ma stratégie par défaut modifiable baséesur la stratégie par défaut. Certaines catégories de stratégie incluent plusieurs stratégiespréconfigurées en lecture seule. Si ces stratégies préconfigurées répondent à vos besoins, vouspouvez appliquer n'importe laquelle d'entre elles. Ces stratégies en lecture seule, comme toutesles stratégies, peuvent être dupliquées et le doublon personnalisé, si nécessaire.

Les stratégies Règles IPS et Applications approuvées sont des stratégies à plusieurs instancescar vous pouvez attribuer plusieurs instances de stratégie dans une même stratégie. Les instancesde stratégie sont automatiquement combinées en une stratégie active.

CONSEIL : les stratégies McAfee par défaut pour les Règles IPS et Applications approuvées sontautomatiquement mises à jour dans le cadre du processus de mise à jour du contenu. Il esttoujours recommandé d'affecter ces stratégies à tous les clients et de créer des instances destratégie supplémentaires pour personnaliser le comportement de ces deux stratégies.

Application des stratégies

Les stratégies s'appliquent à n'importe quel système ou groupe de l'arborescence des systèmes,par héritage ou affectation. L'héritage détermine si les paramètres de stratégie d'un systèmesont issus de son parent. Par défaut, l'héritage est activé dans l'ensemble de l'arborescencedes systèmes. Vous pouvez bloquer l'héritage par une affectation directe de stratégie. HostIntrusion Prevention, tel qu'il est managé par ePolicy Orchestrator, vous permet de créer desstratégies et de les affecter sans vous soucier de l'héritage. Si vous bloquez cet héritage enaffectant une nouvelle stratégie, tous les groupes et systèmes subalternes héritent de cettenouvelle stratégie.

Propriété des stratégies

Un propriétaire doit impérativement être affecté à chaque stratégie. La propriété sert à ce quepersonne d'autre que l'administrateur global, le créateur de la stratégie ou la personne considéréecomme le propriétaire de la stratégie ne puisse modifier la stratégie. Tout administrateur peututiliser toute stratégie figurant dans le catalogue, mais seul son créateur, son propriétaire ouun administrateur global est autorisé à la modifier.

CONSEIL : plutôt que d'utiliser une stratégie appartenant à un autre administrateur, il estrecommandé de dupliquer la stratégie, puis d'attribuer le doublon. Dans le cas contraire, si vousaffectez une stratégie qui ne vous appartient pas à des groupes de l'arborescence des systèmesdont vous êtes responsable et si le propriétaire de la stratégie la modifie, les modificationss'appliqueront à tous les systèmes auxquels cette stratégie est affectée.

Suivi et réglage des stratégies Host IPSLe déploiement et la gestion des clients Host Intrusion Prevention sont assurés à partir d'ePolicyOrchestrator. Dans l'arborescence des systèmes ePO, vous pouvez regrouper les systèmes defaçon hiérarchique par attributs. Par exemple, vous pouvez regrouper un premier niveau declients par emplacement géographique et un deuxième par plate-forme de système d'exploitationou par adresse IP. Il est recommandé de regrouper les systèmes selon les critères deconfiguration de Host Intrusion Prevention, notamment le type de système (serveur ou poste),les applications principalement utilisées (web, base de données ou serveur de messagerie) etles emplacements stratégiques (zone démilitarisée ou intranet). Vous pouvez placer les systèmescorrespondant à un profil d'usage commun dans un groupe commun de l'arborescence des

Introduction de Host Intrusion PreventionSuivi et réglage des stratégies Host IPS


systèmes. En fait, vous pouvez nommer un groupe d'après son profil d'usage, par exemple,serveurs web.

Une fois les ordinateurs regroupés selon leur type, fonction ou emplacement dans l'arborescencedes systèmes, vous pouvez organiser de la même manière les fonctions administratives. A l'aidede Host Intrusion Prevention, vous avez la possibilité de répartir les tâches d'administrationselon les fonctions du produit, telles qu'IPS ou Pare-feu.

Il est facile de déployer les clients Host Intrusion Prevention sur des milliers d'ordinateurs carla plupart d'entre eux correspondent à plusieurs profils d'usage. La gestion d'un déploiementétendu se réduit à la maintenance de quelques règles de stratégies. Lorsque le déploiements'élargit, les nouveaux systèmes ajoutés doivent correspondre à un ou plusieurs profils existantset être placés dans le groupe correct de l'arborescence des systèmes.

Protection prédéfinie

Host Intrusion Prevention propose deux types de protection :

• Les paramètres de stratégie McAfee par défaut offrent une protection de base. Cetteprotection ne requiert que peu ou pas de réglages et génère peu d'événements. Pour denombreux environnements, cette protection de base peut suffire.

• Une protection avancée est également proposée par certaines stratégies de pare-feu et IPSpréconfigurées ou peut être atteinte en créant des stratégies personnalisées. Les serveurs,par exemple, nécessitent davantage qu'une simple protection de base.

Les deux cas exigent le réglage des paramètres de protection pour les environnements de travailà proprement parler.

Mode adaptatif

Pour affiner les paramètres de protection, les clients Host Intrusion Prevention peuvent créer,côté client, des règles aux stratégies autorisées par le serveur qui bloquent une activité légitime.La création automatique de règles de client est autorisée lorsque les clients sont en modeadaptatif. En mode adaptatif, les règles de client sont créées sans intervention de l'utilisateur.Une fois les règles du client créées, vous devez les analyser avec attention et décider celles quidoivent être converties en stratégies autorisées par le serveur.

Dans les grandes organisations, la poursuite des activités professionnelles sans aucuneperturbation prend souvent le pas sur les préoccupations de sécurité. Par exemple, l'installationpériodique de nouvelles applications peut être requise sur certains ordinateurs et vous nedisposez peut-être pas du temps ou des ressources nécessaires pour en effectuer le réglageimmédiatement. Host Intrusion Prevention vous permet de mettre des ordinateurs spécifiquesen mode adaptatif pour la protection IPS. Ces ordinateurs peuvent personnaliser ces nouvellesapplications et transférer au serveur ePolicy Orchestrator les règles de client qui en résultent.L'administrateur peut promouvoir ces règles de client au rang de stratégie nouvelle ou existante,puis la mettre en œuvre sur d'autres ordinateurs afin qu'ils prennent le nouveau logiciel encharge.

Les systèmes en mode adaptatif ne bénéficient pratiquement d'aucune protection. Ce modedoit donc être utilisé uniquement pour le réglage d'un environnement puis désactivé pourrenforcer la protection du système.

Réglage fin

Dans le cadre du déploiement de Host Intrusion Prevention, vous devez identifier quelquesprofils d'usage distincts et leur créer des stratégies. Le meilleur moyen d'y parvenir consiste àconfigurer un déploiement test, puis à commencer à réduire le nombre de faux positifs etd'événements générés. Ce processus est appelé réglage fin.



Des règles IPS plus strictes ciblent une gamme plus vaste d'infractions et génèrent bien plusd'événements que dans un environnement de base. Si vous appliquez la protection avancée, ilest recommandé d'en décaler l'impact en utilisant la stratégie de protection IPS. Cela supposed'appliquer un niveau de gravité (Elevé, Moyen, Faible et Information) à chaque réaction(Empêcher, Journaliser ou Ignorer). En définissant un niveau de gravité pour chaque réaction,excepté Elevé pour Ignorer, seules les signatures d'un niveau de gravité élevé sont appliquées.Les autres niveaux pourront être progressivement augmentés lors des processus de réglagefin.

Vous pouvez réduire le nombre de faux positifs en créant des règles d'exception, des applicationsapprouvées et des règles de pare-feu.

• Les règles d'exception permettent de passer outre une signature IPS dans des circonstancesspécifiques.

• Les applications approuvées sont des processus d'application qui ignorent toutes les règlesIPS ou de pare-feu.

• Les règles de pare-feu autorisent ou non le trafic et bloquent la réception de paquets ouautorisent ou bloquent la transmission de paquets.

Tableaux de bord et requêtes

Les tableaux de bord vous permettent de suivre votre environnement en affichant simultanémentplusieurs requêtes. Ces requêtes peuvent être actualisées en permanence ou exécutées à unefréquence déterminée.

Les requêtes vous fournissent des informations sur des éléments spécifiques et vous permettentde les filtrer en sous-ensembles ; par exemple, les événements de niveau de gravité élevésignalés par des clients particuliers sur une période spécifiée. Les rapports peuvent être planifiéset envoyés sous forme d'e-mail.



Gestion de votre protectionLa gestion d'un déploiement Host Intrusion Prevention englobe la surveillance, l'analyse et laréaction à des activités, la modification et la mise à jour des stratégies et l'exécution de tâchessystème.

Table des matières

Gestion des informations

Gestion des stratégies

Gestion du système

Gestion des informationsUne fois Host Intrusion Prevention installé, vous pouvez effectuer des suivis et rapports desproblèmes de sécurité rencontrés dans votre environnement. Pour avoir un aperçu quotidiende la situation en matière de sécurité ou exécuter des requêtes d'informations détaillées surdes questions particulières, utilisez les tableaux de bord.

Tableaux de bord Host IPSLes tableaux de bord sont un ensemble de moniteurs représentant un outil essentiel pour lagestion de votre environnement. Les moniteurs peuvent aller d'une requête basée sur ungraphique à une petite application web, comme le MyAvert Threat Service. Vous pouvez créeret modifier plusieurs tableaux de bord si vous disposez des autorisations nécessaires. Utiliseztoute requête basée sur un graphique comme tableau de bord, actualisé à intervalles déterminés,afin de placer les requêtes les plus utiles sur un tableau de bord actif.

Host Intrusion Prevention fournit deux tableaux de bord par défaut qui contiennent les moniteurssuivants :

Tableau 1 : Tableaux de bord et moniteurs Host IPSMoniteursTableau de bord

Host IPS • Statut du pare-feu

• Statut Host IPS

• Statut du service

• Nombre de règles IPS de client

• Versions des contenus

• 10 principaux événements NIPS par adresse IP source

Signatures Host IPS déclenchées • 10 principales signatures IPS de niveau critiquedéclenchées sur un poste de travail

• 10 principales signatures IPS de niveau moyendéclenchées sur un poste de travail


MoniteursTableau de bord

• 10 principales signatures IPS de niveau faibledéclenchées sur un poste de travail

• 10 principales signatures IPS de niveau critiquedéclenchées sur un serveur

• 10 principales signatures IPS de niveau moyendéclenchées sur un serveur

• 10 principales signatures IPS de niveau faibledéclenchées sur un serveur

Pour en savoir plus sur la création et l'utilisation des tableaux de bord, consultez la documentationePolicy Orchestrator.

Requêtes Host IPSHost Intrusion Prevention comporte une fonction de requête via ePolicy Orchestrator. Vouspouvez créer des requêtes utiles à partir d'événements et de propriétés stockés dans la basede données ePO ou utiliser des requêtes prédéfinies.

Vous pouvez créer des requêtes pour un groupe de systèmes clients sélectionnés ou limiter lenombre de résultats du rapport au moyen d'un critère de produit ou de système. Vous pouvezexporter les rapports sous différents formats de fichiers, dont HTML et Microsoft Excel.

Options de requête :

• Définir un filtre pour collecter uniquement des informations sélectionnées. Choisir le groupeou les marqueurs à inclure dans le rapport.

• Configurer un filtre de données utilisant des opérateurs logiques, afin de limiter avec précisionles données renvoyées par le rapport.

• Générer des rapports graphiques à partir des informations de la base de données, filtrer lesrapports en fonction de vos besoins, imprimer les rapports et les exporter vers d'autreslogiciels.

• Exécuter des requêtes sur des ordinateurs, des événements et des installations.

Requêtes prédéfinies et personnalisées pour analyser votre protectionLa fonction rapports contient des requêtes prédéfinies venant de Host Intrusion Prevention etvous permet de créer des requêtes personnalisées.

Organisez et gérez des requêtes personnalisées selon vos besoins. Par exemple, si vouspersonnalisez des paramètres pour un rapport, exportez-les sous la forme d'un modèle. Aprèsavoir créé des modèles personnalisés, organisez-les en groupes logiques afin de pouvoir lesexécuter en fonction de vos besoins chaque jour, semaine ou mois.

Après la génération d'un rapport, vous affichez les informations de synthèse, telles quedéterminées par le filtre (le cas échéant) que vous avez configuré. A partir des informations desynthèse, vous développez les informations détaillées sur un ou deux niveaux, dans le mêmerapport.

Vous contrôlez la nature et le nombre d'informations de rapport accessibles aux différentsutilisateurs, comme les administrateurs globaux par rapport à d'autres utilisateurs. Certainsutilisateurs affichent uniquement des rapports sur des systèmes se trouvant sur des sites pourlesquels ils détiennent des autorisations. Les informations contenues dans les rapports sontégalement contrôlées au moyen de filtres.

Gestion de votre protectionGestion des informations


Requêtes personnalisées

Vous pouvez créer quatre requêtes Host IPS spécifiques à l'aide du Générateur de requêtes :Règles de pare-feu pour le client Host IPS 8.0, Fichiers exécutables des règles de pare-feu pourle client Host IPS 8.0, Règles IPS de client Host IPS 8.0 et Exceptions IPS Host IPS 8.0.

Les paramètres disponibles pour ces requêtes comprennent :

Tableau 2 : Paramètres et requêtes Host IPSParamètresRequête

Règles de pare-feu du catalogue et règles depare-feu pour le client Host IPS 8.0

REMARQUE : cette requête renvoie des règles depare-feu du catalogue IPS, des groupes de règles

• Action

• Direction

• Activé

• Date de la dernière modificationde pare-feu du catalogue IPS et des règles depare-feu pour le client. Les valeurs d'action • Utilisateur ayant apporté la dernière modificationpossibles sont allow, block et jump, cette dernière • ID de nœud terminalétant la seule action pour les groupes, auxquels

• Services locauxles actions allow/block ne s'appliquent pas. Lavaleur de filtre leafNodeId des règles et groupes • Statut du journaldu catalogue IPS est définie sur 0. Pour afficher

• Protocole IPuniquement les règles de pare-feu pour le client,définissez la valeur de filtre leafNodeId sur > 0. • Identifier l'intrusion

• Type de support

• Nom

• Remarque

• Services distants

• ID de règle

• Fin de la planification

• Début de la planification

• Basculer à l'expiration

• Protocole de transport

Fichiers exécutables des règles de pare-feu pourle client Host IPS 8.0

• Empreinte

• Nom

• Remarque

• Chemin d’accès

• ID de règle

• Nom du signataire

Règles IPS de client Host IPS 8.0 • Date de création

• Description

• Nom du fichier exécutable

• Chemin d'accès du fichier exécutable

• Empreinte

• Nom entier du fichier exécutable

• Inclure tous les fichiers exécutables

• Inclure toutes les signatures

• Inclure tous les utilisateurs

• Date de la dernière modification

• Version locale

• Réaction

• ID de signature



ParamètresRequête

• Nom du signataire

• Statut

• Nom de l'utilisateur

Exceptions IPS de Host IPS 8.0 • Règle d'exception IPS

• Stratégie Règles IPS

Propriétés communes Host IPS

Les requêtes Host IPS personnalisées et certaines autres requêtes personnalisées vous permettentd'inclure les propriétés Host IPS suivantes :

• Statut du mode adaptatif IPS• Type d'agent

• Pirates bloqués • Langue

• Nombre de règles d'exception locales• Version du client

• Version du contenu • Statut IPS réseau

• En attente de redémarrage• Statut du mode adaptatif de pare-feu

• Panne du pare-feu (Erreurs) • Version du plug-in

• Statut du produit• Statut du mode d'apprentissage depare-feu pour les éléments entrants • Service en cours d'exécution

• Statut du mode d'apprentissage depare-feu pour les éléments sortants

• Version de HotFix/patch

• Version du produit• Nombre de règles du pare-feu

• Service Pack• Statut du pare-feu

• Informations sur les événements Host IPS(Masqué, Lu)• Panne de la protection Host IPS (Erreurs)

• Statut Host IPS • Nom de la signature• Répertoire d'installation

Requêtes prédéfinies

Outre les requêtes personnalisées, vous pouvez utiliser plusieurs requêtes prédéfinies tellesquelles ou les modifier pour obtenir uniquement les informations recherchées. Faites votresélection parmi les requêtes Host IPS prédéfinies :

RécapitulatifRequête HIP

Affiche la liste des règles de pare-feu pour le client, classées par processus.Règles de client par processus

Affiche la liste des règles de pare-feu pour le client, classées par processus et plagede ports.

Règles de client parprocessus/plage de ports

Affiche la liste des règles de pare-feu pour le client, classées par processus et parutilisateur.

Règles de client parprocessus/utilisateur

Affiche la liste des règles de pare-feu pour le client, classées par protocole et nom desystème.

Règles de client parprotocole/nom de système

Affiche la liste des règles de pare-feu pour le client, classées par protocole et plagede ports.

Règles de client parprotocole/plage de ports

Affiche la liste des règles de pare-feu pour le client, classées par protocole et parprocessus.

Règles de client parprotocole/processus



RécapitulatifRequête HIP

Indique les trois principales versions de clients avec une seule catégorie pour toutesles autres versions.

Versions des clients

Affiche les systèmes managés sur lesquels Host IPS a été déployé et que le programmed'installation doit redémarrer.

Clients en attente deredémarrage

Indique les trois principales versions de contenus avec une seule catégorie pour toutesles autres versions.

Versions des contenus

Indique le nombre de règles de pare-feu pour le client créées au fil du temps.Nombre de règles de pare-feupour le client

Indique le nombre de règles IPS de client créées au fil du temps.Nombre de règles IPS de client

Affiche les 10 signatures IPS de niveau de gravité élevé (Critique) déclenchées le plussouvent sur un poste de travail.

10 principales signatures IPSde niveau critique déclenchéessur un poste de travail

Affiche les 10 signatures IPS de niveau moyen (Avertissement) déclenchées le plussouvent sur un poste de travail.

10 principales signatures IPSde niveau moyen déclenchéessur un poste de travail

Affiche les 10 signatures IPS de niveau faible (Avis) déclenchées le plus souvent surun poste de travail.

10 principales signatures IPSde niveau faible déclenchéessur un poste de travail

Affiche la liste des événements générés par les systèmes connectés aux réseauxapprouvés par la protection Host IPS.

Evénements des réseauxapprouvés par la protectionHost IPS

Affiche la liste des systèmes managés sur lesquels la fonction de pare-feu a été activéepar une stratégie, mais n'a pas démarré correctement.

Erreurs liées au pare-feu

Indique à quel niveau la protection par pare-feu est activée ou désactivée sur lessystèmes managés.

Statut du pare-feu

Affiche la liste des systèmes managés sur lesquels la fonction IPS a été activée parune stratégie, mais n'a pas démarré correctement.

Erreurs liées à la protectionHost IPS

Indique à quel niveau la protection IPS est activée ou désactivée sur les systèmesmanagés.

Statut Host IPS

Affiche la liste des stratégies Règles IPS utilisant des exceptions IPS.Rapport sur les exceptions IPS

Affiche les 10 signatures IPS de niveau de gravité élevé (Critique) déclenchées le plussouvent sur un serveur.

10 principales signatures IPSde niveau critique déclenchéessur un serveur

Affiche les 10 signatures IPS de niveau moyen (Avertissement) déclenchées le plussouvent sur un serveur.

10 principales signatures IPSde niveau moyen déclenchéessur un serveur

Affiche les 10 signatures IPS de niveau faible (Avis) déclenchées le plus souvent surun serveur.

Signatures IPS de niveau faibledéclenchées sur un serveur

Indique où Host IPS est installé et si une exécution de Host IPS est en cours sur lessystèmes managés.

Statut du service

Affiche les 10 systèmes présentant le plus d'événements IPS.10 principaux événements IPSpar cible

Affiche les 10 principaux événements d'intrusion sur le réseau par adresse IP sourcepour les trois derniers mois.

10 principaux événementsd'intrusion sur le réseau paradresse IP source

Affiche les 10 signatures IPS déclenchées le plus souvent.10 principales signaturesdéclenchées



Gestion des stratégiesLa gestion des stratégies demande la configuration et l'application de stratégies et le réglagede la protection pour les ressources et applications du système. Une partie de ce processusnécessite une analyse des événements et des règles de client.

Où trouver les stratégiesePolicy Orchestrator propose deux emplacements pour afficher et gérer les stratégies HostIntrusion Prevention : l'onglet Stratégies (Systèmes | Arborescence des systèmes |Stratégies pour un groupe sélectionné dans l'arborescence des systèmes) et l'onglet Cataloguede stratégies (Systèmes | Catalogue de stratégies).

Pour un groupe ou un système sélectionné, utilisez l'onglet Stratégies pour :

• afficher les stratégies d'une fonction particulière du produit ;

• afficher les détails de la stratégie ;

• afficher les informations d'héritage ;

• modifier l'affectation de la stratégie ;

• modifier les stratégies personnalisées.

Utilisez l'onglet Catalogue de stratégies pour :

• créer des stratégies ;

• afficher et modifier les informations de stratégie ;

• afficher les affectations d'une stratégie ;

• afficher les paramètres et le propriétaire d’une stratégie ;

• afficher les affectations pour lesquelles la mise en œuvre des stratégies est désactivée.

Opérations à exécuter...Pour...

Cliquez sur Nouvelle stratégie, nommez-la et modifiez ses paramètres.Créer une stratégie

Cliquez surModifier (uniquement disponible pour les stratégies Ma stratégiepar défaut ou les stratégies personnalisées).

Modifier une stratégie

Cliquez sur Afficher (uniquement disponible pour les stratégies McAfee pardéfaut ou les stratégies préconfigurées).

Afficher une stratégie

Cliquez sur Renommer et modifiez le nom de la stratégie (non disponiblepour les stratégies par défaut ou préconfigurées).

Renommer une stratégie

Cliquez sur Dupliquer, modifiez le nom de la stratégie et ses paramètres.Dupliquer une stratégie

Cliquez sur Supprimer (non disponible pour les stratégies par défaut oupréconfigurées).

REMARQUE : lorsque vous supprimez une stratégie, tous les groupes auxquelselle s'applique actuellement héritent, depuis leur parent, de la stratégie de

Supprimer une stratégie

cette catégorie. Avant de supprimer une stratégie, vous devez examiner tousles systèmes auxquels elle est affectée et leur affecter une autre stratégie sivous ne souhaitez pas que la stratégie hérite de son parent. Si vous supprimezune stratégie appliquée au niveau supérieur, la stratégie par défaut de cettecatégorie s'applique.

Cliquez sur le propriétaire de la stratégie et sélectionnez un autre propriétairedans une liste (non disponible pour les stratégies par défaut oupréconfigurées).

Affecter un propriétaire de stratégie

Gestion de votre protectionGestion des stratégies



Cliquez sur Exporter, puis nommez et enregistrez la stratégie (un fichierXML) à l'emplacement souhaité.

Exporter une stratégie

Cliquez sur Exporter toutes les stratégies, puis nommez et enregistrezle fichier XML de stratégies à l'emplacement souhaité.

Exporter toutes les stratégies

Cliquez sur Importer en haut de la page Catalogue de stratégies,sélectionnez le fichier XML de stratégies, puis cliquez sur OK.

Importer des stratégies

Pour en savoir plus sur l'une de ces fonctions, consultez la documentation ePolicy Orchestrator.

Configuration des stratégiesUne fois le logiciel Host Intrusion Prevention installé, il est recommandé de configurer directementles stratégies afin que la sécurité soit la plus stricte possible sans créer de conflits avec lesactivités quotidiennes. Les stratégies par défaut de Host Intrusion Prevention sont adaptées àune large gamme d'environnements de clients et peuvent répondre à vos besoins. Pour réglerles stratégies de manière à ce qu'elles soient adaptées à votre configuration, il est recommandéde procéder comme suit :

• Définissez clairement votre configuration de sécurité Host Intrusion Prevention. Déterminezles responsables de la configuration des parties spécifiques du système et attribuez-leur lesautorisations appropriées.

• Modifiez les stratégies Protection IPS ou Règles de pare-feu par défaut, qui fournissent desniveaux croissants de protection prédéfinie.

• Modifiez les niveaux de gravité des signatures spécifiques. Par exemple, lorsqu'une signatureest déclenchée par le travail quotidien des utilisateurs, abaissez son niveau de gravité.

• Configurez les tableaux de bord pour avoir un aperçu rapide de la conformité et desproblèmes.

• Configurez les notifications pour alerter des utilisateurs spécifiques lorsqu'un événementparticulier se produit. Par exemple, une notification peut être envoyée lorsqu'une activité,entraînant un événement de gravité élevée, se produit sur un serveur spécifique.

Création d'une stratégiePour créer une stratégie, vous devez copier une stratégie existante et attribuez un nom à lanouvelle copie. Vous pouvez effectuer cette tâche dans le catalogue des stratégies ou depuisune page Stratégie.

Tâche

Pour obtenir les définitions des options, cliquez sur ? dans l'interface.

• Effectuez l'une des actions suivantes à partir du catalogue des stratégies :

• Cliquez sur le bouton Nouvelle stratégie. Sélectionnez la stratégie dont vous souhaitezcréer une copie, saisissez le nom de la nouvelle stratégie, puis cliquez sur OK.

• Cliquez sur le lien Dupliquer d'une stratégie. Saisissez le nom de la nouvelle stratégie,puis cliquez sur OK.

• Cliquez sur le lien Afficher ou Modifier d'une stratégie, puis sur la page Stratégie,cliquez sur le bouton Dupliquer. Saisissez le nom de la nouvelle stratégie, puis cliquezsur OK. La stratégie dupliquée s'affiche. Modifiez la stratégie, puis cliquez sur Enregistrer.



Modification de l'affectation de stratégiesUtilisez cette tâche pour modifier l'affectation de stratégies Host Intrusion Prevention à ungroupe ou système unique de l'arborescence des systèmes ePolicy Orchestrator.

Tâche


• Effectuez l'une des procédures suivantes :

• Pour un groupe, accédez à Systèmes | Arborescence des systèmes, sélectionnezun groupe, puis sous l'onglet Stratégies cliquez sur Modifier l'affectation.

• Pour un système, accédez à Systèmes | Arborescence des systèmes, sélectionnezun groupe qui contient le système, puis dans l'onglet Système, sélectionnez le systèmeet cliquez sur Plus d'actions | Modifier les stratégies sur un seul système.

Protection et réglage par défautHost Intrusion Prevention fonctionne avec des stratégies par défaut pour assurer la protectionde base. Le niveau de protection peut être renforcé par des paramètres personnalisés réglésmanuellement ou automatiquement.

Protection par défaut

Host Intrusion Prevention comprend un jeu de stratégies par défaut qui fournissent une protectionde base pour votre environnement. Les protections IPS et par pare-feu sont désactivées pardéfaut et doivent être activées pour autoriser la mise en œuvre des stratégies de règles pardéfaut.

Pour la protection avancée, passez des stratégies IPS par défaut aux stratégies prédéfinies plusstrictes, ou créez des stratégies personnalisées.

Commencez par un déploiement test pour surveiller et régler les nouveaux paramètres. Leréglage implique l'équilibrage de la protection de prévention des intrusions et l'accès auxinformations et applications requises par type de groupe.

Réglage manuel

Un réglage manuel demande une surveillance directe, sur une période déterminée, desévénements et des règles de client créés.

• Pour la protection IPS, surveillez les événements pour détecter les faux positifs et créez desexceptions ou des applications approuvées afin d'éviter que ces événements ne sereproduisent.

• Pour la protection par pare-feu, surveillez le trafic réseau et ajoutez des réseaux approuvésafin de permettre un trafic réseau correct.

• Surveillez les effets des nouvelles exceptions, applications approuvées et des nouveauxréseaux approuvés.

• Si ces règles permettent d'éviter les faux positifs, en conservant le trafic réseau au minimumet en autorisant l'activité légitime, intégrez-les à une nouvelle stratégie ou à une stratégieexistante.

• Appliquez la nouvelle stratégie à un ensemble d'ordinateurs et surveillez les résultats.

• Répétez l'opération avec chaque type de groupe de production.



Réglage automatique

Le réglage automatique évite de devoir surveiller en permanence tous les événements et activitéspour tous les utilisateurs.

• Appliquez le mode adaptatif pour les stratégies IPS et de pare-feu.

• En mode adaptatif, les événements IPS ne sont pas déclenchés et les activités ne sont pasbloquées, à l'exception des exploits malveillants. Les règles de client sont crééesautomatiquement pour permettre une activité légitime.

• Examinez les listes de règles de client.

• Faites passer les règles de client appropriées en règles de stratégie d'administration.

• Après quelques semaines, désactivez le mode adaptatif.

• Surveillez le groupe de test pendant quelques jours afin de vous assurer que les paramètresde stratégie sont appropriés et offrent la protection souhaitée.

• Répétez l'opération avec chaque type de groupe de production.

Clients et planification de votre déploiementLe client Host Intrusion Prevention est un composant essentiel pour la protection. Lors dudéploiement de clients, il est recommandé d'appliquer une approche par phases :

• Déterminez votre plan de déploiement de clients initial. Même si vous pouvez déployerdes clients Host Intrusion Prevention sur chaque hôte (serveurs, postes de travail etordinateurs portables) de votre entreprise, il est recommandé de commencer par installerdes clients sur un nombre limité de systèmes représentatifs et de régler leur configuration.Une fois le déploiement réglé, vous pouvez déployer un plus grand nombre de clients etexploiter les stratégies, les exceptions et les règles de client créées lors du déploiementinitial.

• Etablissez une convention de nommage de vos clients. Les clients sont identifiés parnom dans l'arborescence des systèmes, dans certains rapports et dans les donnéesd'événement générées suite aux activités effectuées sur le client. Les clients peuvent porterle nom de l'hôte sur lequel ils sont installés ou vous pouvez affecter un nom spécifique auclient lors de l'installation. Il est recommandé d'établir une convention de nommage desclients facile à interpréter par toute personne travaillant au déploiement de Host IntrusionPrevention.

• Installez les clients. Les clients peuvent être installés avec un ensemble par défaut destratégies IPS et de pare-feu. Les nouvelles stratégies contenant des règles mises à jourpeuvent être, par la suite, diffusées à partir du serveur.

• Regroupez les clients de manière logique. Les clients peuvent être regroupés selonn'importe quel critère correspondant à la hiérarchie de l'arborescence des systèmes. Parexemple, vous pouvez regrouper les clients selon leur emplacement géographique, leurfonction dans l'entreprise ou les caractéristiques du système.

Données client et ce qu'elles vous indiquentAprès l'installation et le regroupement de vos clients, le déploiement est terminé. Vous devriezcommencer à voir des événements se déclencher par activité sur les clients. Si vous avezconfiguré les clients en mode adaptatif, vous devez pouvoir visualiser les règles de client indiquantles règles d'exceptions de client en cours de création. L'analyse de ces données marque le débutdu réglage du déploiement.



Pour analyser des données sur les événements, affichez l'onglet Evénements de l'onglet HostIPS sous Rapports. Vous pouvez développer les détails d'un événement, comme le processusqui a déclenché l'événement, le moment où l'événement a été généré et le client qui a générél'événement. Analysez l'événement et prenez les mesures adaptées pour régler le déploiementHost Intrusion Prevention et répondre de manière plus efficace aux diverses attaques. L'ongletEvénements contient tous les événements Host IPS, y compris les événements NIPS, d'intrusionsde pare-feu et de blocage TrustedSource.

Pour analyser les règles de client, affichez les onglets Règles IPS de client et Règles de pare-feupour le client. Vous pouvez visualiser les règles en cours de création, les agréger afin de trouverles règles communes les plus répandues et les transférer directement vers une stratégie pourl'appliquer à d'autres clients.

En outre, le module Rapports d'ePolicy Orchestrator fournit des rapports détaillés basés sur lesévénements, les règles de client et la configuration de Host Intrusion Prevention. Utilisez cesrequêtes pour transmettre l'activité d'environnement à d'autres membres de votre équipe ouà vos supérieurs.

Mode adaptatifL'un des éléments les plus importants dans le processus de réglage est la mise des clients HostIntrusion Prevention en mode adaptatif pour les fonctions IPS et de pare-feu. Ce mode permetaux ordinateurs de créer des règles d'exception de client pour les stratégies d'administration.Le mode adaptatif effectue cette opération automatiquement, sans intervention de l'utilisateur.

Ce mode analyse d'abord les événements relatifs aux attaques les plus malveillantes, telles quele Buffer Overflow. Si l'activité est considérée comme normale et nécessaire pour l'entreprise,des règles d'exception de client sont créées. En définissant des clients représentatifs sur lemode adaptatif, vous pouvez leur créer une configuration de réglage. Host Intrusion Preventionvous permet ensuite d'utiliser quelques règles de client, toutes ou aucune et de les convertiren stratégies autorisées par le serveur. Une fois ce réglage terminé, désactivez le mode adaptatifafin de renforcer la protection système de prévention des intrusions.

• Exécutez les clients en mode adaptatif pendant au moins une semaine. Cela permet auxclients d'être confrontés à toutes les activités prévues. Essayez d'effectuer cette opérationlors d'une activité planifiée, telle qu'une sauvegarde ou un traitement de scripts.

• A chaque activité rencontrée, des événements IPS sont générés et des exceptions créées.Les exceptions sont des activités considérées comme des comportements légitimes. Parexemple, une stratégie peut juger les traitements de scripts comme indésirables mais certainssystèmes utilisés par vos groupes techniques doivent effectuer de telles tâches. Autorisezla création d'exceptions pour ces systèmes afin qu'ils puissent fonctionner normalement touten conservant le blocage de cette activité sur d'autres systèmes. Ensuite, stockez cesexceptions dans une stratégie autorisée par le serveur afin de couvrir uniquement le groupetechnique.

• Des applications logicielles peuvent être nécessaires pour les activités normales de certainsservices de votre entreprise, mais pas pour d'autres. Par exemple, vous pouvez autoriser lesystème de messagerie instantanée dans votre service de support technique et bloquer sonutilisation dans votre service financier. L'application peut être définie comme une applicationapprouvée sur les systèmes de votre service de support technique afin que les utilisateurspuissent y accéder en intégralité.

• La fonction de pare-feu agit comme un filtre entre un ordinateur et le réseau ou Internet.Le pare-feu analyse tout le trafic entrant et sortant, au niveau des paquets. Parallèlementà l'examen des paquets entrants et sortants, le pare-feu vérifie sa liste de règles de pare-feu :un ensemble de critères auxquels sont associées des actions. Si un paquet correspond à



tous les critères d'une règle, le pare-feu entreprend l'action spécifiée par cette dernière, cequi autorise ou bloque le passage du paquet par le pare-feu.

FAQ : Mode adaptatifLe mode adaptatif est un paramètre que vous pouvez appliquer aux fonctions IPS et de pare-feulors du test de déploiement des nouvelles stratégies. Il permet au client Host Intrusion Preventionde créer automatiquement des règles autorisant les activités tout en préservant une protectionminimale contre les vulnérabilités. Les questions et réponses suivantes devraient vous aider àutiliser cette fonction.

Comment activer le mode adaptatif ?

Activez le mode adaptatif en sélectionnant cette option dans la stratégie Options IPS ou Optionsde pare-feu et en appliquant cette stratégie au client Host Intrusion Prevention.

En quoi le mode adaptatif fonctionne-t-il différemment avec les fonctions IPS et depare-feu ?

Avec la fonction IPS, le mode adaptatif crée des règles côté client qui constituent des exceptionsaux signatures IPS existantes. Avec la fonction de pare-feu, le mode adaptatif crée des règlesde client pour autoriser les paquets réseau non couverts par les règles de pare-feu existantes.

Les exceptions IPS de client sont créées par utilisateur, par processus et par signature et sontbasées uniquement sur les chemins d'accès. Les règles de pare-feu pour le client sont crééespar processus et les processus associés aux règles de pare-feu pour le client sont basés sur lechemin, la description du fichier, la signature numérique et le hachage MD5.

Dans quelle situation les règles ne sont-elles pas créées automatiquement en modeadaptatif ?

Avec IPS :

• La signature de la stratégie Règles IPS appliquée ne permet pas la création d'une règle declient. (Il s'agit du paramètre standard pour la plupart des signatures IPS dont le niveau degravité est élevé. Ces signatures sont réglées pour détecter et bloquer les menaces les plusdangereuses sur vos systèmes. Il est donc peu probable que les activités normales del'entreprise ne nécessitent une exception automatique.)

• La réaction à la signature est « Ignorer ».

• L'action associée déclenche une signature IPS réseau.

• Un utilisateur tente d'arrêter le service McAfee Host IPS, indépendamment du paramètre dela règle de client relative à l'auto-protection du service dans la signature 1 000.

• Il existe déjà une exception qui exclut l'opération en question, dans une stratégie RèglesIPS appliquée.

• Le processus associé à l'action est approuvé pour IPS dans une stratégie Applicationsapprouvées et la signature n'est pas exclue des applications approuvées.

Avec le pare-feu :

• Aucune application n'est associée avec le paquet lors de son examen dans le journal d'activitédu client. Les exemples les plus courants sont les suivants :

• les requêtes entrantes pour les services n'étant pas en cours d'exécution, comme FTP(File Transfer Protocol) ou Telnet ;

• ICMP (Internet Control Message Protocol) entrant, comme une demande d'écho ;



• ICMP entrant ou sortant sur le système d'exploitation Microsoft Windows Vista ;

• paquets TCP (Transmission Control Protocol) sur le port 139 (NetBIOS SSN) ou 445(MSDS), qui peut être requis pour le partage de fichiers Windows ;

• les paquets IPsec (Internet Protocol Security) associés aux solutions clientes VPN (VirtualPrivate Network).

• Il existe déjà une règle dans la stratégie Règles de pare-feu appliquée qui bloque ou autorisele paquet.

• La stratégie Règles de pare-feu contient un groupe selon l'emplacement dont l'isolement deconnexion est activé, une carte d'interface réseau (NIC) active correspond à ce groupe etle paquet est envoyé ou reçu sur une NIC qui ne correspond pas au groupe.

• Il ne s'agit pas d'un paquet TCP, UDP (User Datagram Protocol) ou ICMP.

• Plusieurs utilisateurs sont connectés au système, ou aucun utilisateur n'est connecté ausystème.

Existe-t-il d'autres restrictions ?

• Il se peut qu'IPS ne parvienne pas à détecter l'utilisateur associé à certaines règles de client(cet événement s'affiche comme « domaine inconnu/utilisateur inconnu » dans la règle declient ePolicy Orchestrator). Des exceptions peuvent tout de même être créées avec cesrègles de client, mais elles s'appliquent à tous les utilisateurs.

• Certaines connexions TCP entrantes telles que le Bureau à distance ou HTTPS (HypertextTransfer Protocol over Secure Socket Layer) peuvent nécessiter plusieurs tentatives pourparvenir à la création d'une règle de pare-feu.

Migration des stratégies Host IPSVous ne pouvez pas utiliser les stratégies McAfee Host Intrusion Prevention version 6.1 ou 7.0avec les clients de la version 8.0 sans migrer au préalable les stratégies de la version 6.1 ou7.0 vers le format de la version 8.0. Host Intrusion Prevention 8.0 fournit un moyen simplepour migrer les stratégies, grâce à la fonction Migration des stratégies Host IPS d'ePolicyOrchestrator sous Automatisation. Cette migration implique la traduction et le déplacementdes stratégies. Une fois la stratégie migrée, son nom apparaît dans le catalogue des stratégies,sous la fonction de produit Host IPS 8.0 et la catégorie correspondante avec la mention [6.1]ou [7.0] après le nom de la stratégie.

Toutes les stratégies sont traduites et migrées vers les stratégies correspondantes de laversion 8.0, à l'exception des suivantes :

• Les stratégies Options de blocage d'application ne sont pas migrées (ces stratégies ont étésupprimées de la version 8.0).

• Les stratégies Règles de blocage d'applications sont migrées dans les stratégies Règles IPSsous le nom Accrochage d'application et protection de l'appel <nom> [6.1 ou 7.0] (cesstratégies ont été supprimées de la version 8.0). Après la migration de ces stratégies dansles stratégies Règles IPS, leur liste Règles de protection des applications est vide et la listeExceptions contient des exceptions pour toutes les applications approuvées par défautdéfinies sur « Approuvée pour l'accrochage d'applications ». Pour utiliser cette stratégiemigrée, vous devez également affecter la stratégie Règles IPS par défaut dans un paramètred'instance à plusieurs stratégies car elle contient la dernière liste de protection des applicationsen raison des mises à jour de contenu.

REMARQUE : les applications pour lesquelles l'accrochage est bloqué dans les stratégiesRègles de blocage d'applications ne sont pas migrées et doivent être ajoutées manuellement



aux Règles de protection des applications dans la stratégie Règles IPS après la migration.De plus, si vous migrez une stratégie Applications approuvées avec des applications marquées« Approuvée pour l'accrochage d'applications » vers la version 8.0, vous devez créer uneexception pour cette application dans la signature 6010 (Protection d'accrochage d'applicationgénérique) au niveau d'une stratégie Règles Host IPS pour sauvegarder la protectiond'accrochage d'application.

• Les stratégies Options de quarantaine du pare-feu ne sont pas migrées (ces stratégies ontété supprimées de la version 8.0).

• Les stratégies Règles de quarantaine du pare-feu ne sont pas migrées (ces stratégies ontété supprimées de la version 8.0).

• Les règles de client IPS et les règles de pare-feu pour le client ne sont pas migrées.

REMARQUE : les affectations de stratégies sont prises en charge lors de la migration. Si l'héritageest bloqué à un emplacement particulier de l'arborescence des systèmes, l'affectation n'est pasremplacée, mais l'héritage pourra être bloqué à d'autres niveaux de l'arborescence, avec lafusion des affectations migrées. Vérifiez toujours l'affectation des stratégies après leur migration.

Migration directe des stratégies

Après l'installation de l'extension Host Intrusion Prevention 8.0, le moyen le plus simple demigrer toutes les stratégies existantes est de les migrer directement.

1 Cliquez sur Automatisation | Migration des stratégies Host IPS.

2 Sous Action, pour les stratégies Host IPS 6.1 ou 7.0 du catalogue des stratégies ePO,cliquez sur Migrer.

3 Au terme de la migration des stratégies, cliquez sur Fermer.Toutes les stratégies IPS, de pare-feu ou des fonctionnalités générales de la version 6.1/7.0sont converties en version 8.0 et leur nom est suivi de l'indication [6.1] ou [7.0].

REMARQUE : si vous exécutez une deuxième migration des stratégies, toutes les stratégies dumême nom précédemment migrées sont remplacées. Ce processus n'est pas sélectif car toutesles stratégies 6.1 ou 7.0 existantes sont migrées. Si vous souhaitez migrer les stratégies demanière sélective, vous devez réaliser la migration via un processus de fichier xml.

Migration des stratégies via un fichier xml

Si l'extension Host Intrusion Prevention 6.1/7.0 n'est pas installée et que vous avezprécédemment exporté des stratégies individuelles sélectionnées vers un fichier xml, ou si voussouhaitez migrer les stratégies de la version 6.1/7.0 de manière sélective plutôt que la totalitéd'entre elles, effectuez la migration via un fichier xml. Ce processus implique tout d'abordl'exportation de stratégies individuelles Host Intrusion Prevention 6.1/7.0 au format xml, puisla conversion du contenu du fichier xml vers des stratégies de version Host IntrusionPrevention 8.0 et enfin l'importation du fichier xml migré dans le catalogue des stratégies HostIPS.

1 Cliquez sur Automatisation | Migration des stratégies Host IPS.

2 Sous Action, pour les stratégies Host IPS 6.1 ou 7.0 dans un fichier xml, cliquez surMigrer.

3 Sélectionnez la version Host IPS 6.1 ou 7.0 du fichier xml précédemment exporté, puiscliquez sur OK. Le fichier xml est converti au format de stratégie version 8.0.

4 Cliquez sur le lien du fichier converti MigratedPolicies.xml avec le bouton droit de la souriset enregistrez-le pour l'importation.

5 Importez le fichier xml dans le catalogue de stratégies ePO.



Gestion du systèmeDans le cadre de la gestion du déploiement de Host Intrusion Prevention, vous devezoccasionnellement exécuter certaines tâches système. Ces tâches comprennent la configurationdes autorisations utilisateur, des tâches serveur, des notifications et la mise à jour de contenu.

Ensembles d'autorisations Host IPSUn ensemble d'autorisations est un groupe d'autorisations accordées à un compte utilisateurpour des produits ou fonctions spécifiques d'un produit. Il est possible d'affecter un ou plusieursensembles d'autorisations. Toutes les autorisations pour la totalité des produits et fonctionssont automatiquement affectées aux administrateurs globaux. Les ensembles d'autorisationsaccordent uniquement des autorisations ; ils ne les retirent jamais.

Un administrateur global peut affecter des ensembles d'autorisations existants lors de la créationou modification de comptes d'utilisateur, ainsi que lors de la création ou modification d'ensemblesd'autorisations.

L'extension Host Intrusion Prevention ajoute une section Host Intrusion Prevention aux ensemblesd'autorisations sans en appliquer aucune. L'administrateur global doit accorder des autorisationsHost IPS à des ensembles d'autorisations existants ou créer de nouveaux ensemblesd'autorisations et les y ajouter.

Avec Host Intrusion Prevention, des autorisations sont accordées pour l'accès à chaque fonctiondu produit en fonction des autorisations en lecture ou en lecture/écriture dont dispose l'utilisateur.Cela s'applique aux pages de stratégies Host Intrusion Prevention et aux pages de règles declient et d'événements Host Intrusion Prevention sous Rapports.

Les autorisations suivantes sont disponibles...Pour cette fonction Host IPS...

Aucune, afficher les paramètres uniquement ou afficher et modifier lesparamètres.

IPS


Pare-feu


Générale

L'administrateur global doit également accorder des autorisations ePolicy Orchestrator pour lagestion des autres éléments utilisant Host Intrusion Prevention, notamment les requêtes ettableaux de bord. Par exemple, pour analyser et gérer les règles de pare-feu pour le clientfigurant dans les pages Host IPS sous Rapports, un utilisateur doit disposer d'autorisations deconsultation pour afficher le journal des événements, les systèmes et l'arborescence des systèmesainsi que des autorisations de consultation et de modification pour la fonction de pare-feu HostIntrusion Prevention.

Tableau 3 : Autorisations requises pour utiliser différentes fonctionsLes ensembles d'autorisations suivants sont requisPour ces fonctions Host IPS

Tableaux de bord, RequêtesTableaux de bord Host IPS

RequêtesRequêtes Host IPS

Systèmes, accès à l'Arborescence des systèmes, Journaldes événements

Evénements de client et règles de client Host IPS

Tâches serveurTâches serveur Host IPS

LogicielPackages Host IPS du référentiel

Gestion de votre protectionGestion du système


Les ensembles d'autorisations suivants sont requisPour ces fonctions Host IPS

NotificationsNotifications Host IPS

Pour en savoir plus sur les ensembles d'autorisations, consultez la documentation ePolicyOrchestrator.

Affectation d'ensembles d'autorisationsUtilisez cette tâche pour affecter des autorisations aux fonctions Host Intrusion Prevention surle serveur ePO.

Conditions préalables

Déterminez les fonctions Host Intrusion Prevention auxquelles vous souhaitez accorder un accèset les ensembles d'autorisations supplémentaires devant être affectés pour accéder à tous lesaspects de cette fonction Host Intrusion Prevention. Par exemple, pour afficher les règles depare-feu pour le client, l'utilisateur doit disposer d'une autorisation relative à la fonction depare-feu dans l'ensemble d'autorisations Host Intrusion Prevention, ainsi que des ensemblesd'autorisations relatives au journal des événements, aux systèmes et à l'accès à l'arborescencedes systèmes.

Tâche


1 Accédez à Configuration | Ensembles d'autorisations.

2 En regard de Host Intrusion Prevention, cliquez sur Modifier.

3 Sélectionnez l'autorisation souhaitée pour chaque fonction :

• Aucune

• Afficher les paramètres uniquement

• Afficher et modifier les paramètres

4 Cliquez sur Enregistrer.

5 Affectez les autres ensembles d'autorisations selon vos besoins :

Affecter l'ensemble d'autorisationsPour cette fonction Host IPS

Host Intrusion Prevention : IPS, Journal desévénements, Systèmes, accès à l'Arborescence dessystèmes

Evénements Host IPS

Host Intrusion Prevention : IPS, Journal desévénements, Systèmes, accès à l'Arborescence dessystèmes

Règles IPS de client Host IPS

Host Intrusion Prevention : Pare-feu, Journal desévénements, Systèmes, accès à l'Arborescence dessystèmes

Règles de pare-feu pour le client Host IPS

Tableau de bord, RequêtesTableaux de bord Host IPS

RequêtesRequêtes Host IPS



Tâches serveur Host IPSHost Intrusion Prevention fournit plusieurs tâches serveur préconfigurées et configurables quevous pouvez définir pour qu'elles s'exécutent selon une planification donnée ou immédiatementdans le cadre de la maintenance de protection de Host Intrusion Prevention. Vous pouvez créerdes tâches serveur Host Intrusion Prevention personnalisées en cliquant sur Nouvelle tâche eten sélectionnant une ou plusieurs propriétés Host IPS dans l'onglet Actions du Générateur detâches serveur. Pour en savoir plus sur l'utilisation et la création des tâches serveur, consultezla documentation ePolicy Orchestrator.

Pour utiliser une tâche serveur existante, accédez à Automatisation | Tâches serveurs,puis cliquez sur la commande appropriée sous Actions. Pour créer une tâche serveurpersonnalisée, cliquez sur Nouvelle tâche et suivez les instructions de l'Assistant Générateurde tâches serveur.

Tableau 4 : Tâches serveur préconfigurées et personnaliséesDescriptionTâche serveur

Cette tâche serveur traduit les règles de client HostIntrusion Prevention stockées dans la base de données

Traducteur de propriétés Host IPS (Préconfigurée)

ePolicy Orchestrator pour la gestion du tri, regroupementet filtrage des données Host Intrusion Prevention. Cettetâche, qui est exécutée automatiquement toutes les15 minutes, ne nécessite pas d'intervention de l'utilisateur.Cependant, vous pouvez l'exécuter manuellement si vousavez besoin d'un retour d'informations immédiat sur lesactions survenues sur le client.

Cette tâche serveur vous permet de créer une tâchepersonnalisée de récupération de paquets provenant du

Extraction du référentiel (Personnalisée)

site source et de les placer dans le référentiel maître.Sélectionnez Contenu Host IPS comme type de packagepour récupérer les mises à jour de contenuautomatiquement.

Cette tâche serveur vous permet de créer une tâchepersonnalisée pour exécuter des requêtes Host IntrusionPrevention préconfigurées selon une planification donnée.

Exécuter une requête (Personnalisée)

Cette tâche serveur vous permet de créer une tâchepersonnalisée pour purger les journaux d'événements en

Purger le journal des événements (Personnalisée)

fonction d'une requête Host Intrusion Prevention.Sélectionnez une requête Evénements Host IPS pour lespurger du journal.

Notifications d'événements Host IPSLes notifications vous avertissent des événéments qui se produisent sur les systèmes clientsHost Intrusion Prevention. Vous pouvez configurer ces règles pour envoyer des e-mails ou desinterruptions SNMP ou pour exécuter des commandes externes lors de la réception d'événementsspécifiques et de leur traitement par le serveur ePolicy Orchestrator. Vous pouvez définir lescatégories d'événements qui génèrent un message de notification, ainsi que la fréquence d'envoide ces notifications. Pour en savoir plus, consultez la documentation d'ePolicy Orchestrator 4.0.

Conseils d'utilisation des notificationsDans l'environnement Host Intrusion Prevention, lorsque des événements surviennent, ils sonttransmis au serveur ePolicy Orchestrator. Les règles de notification sont associées au groupeou au site contenant les systèmes affectés et elles sont appliquées aux événements. Si les



conditions d'une règle sont satisfaites, un message de notification est envoyé ou une commandeexterne est exécutée, comme spécifié par la règle.

Vous pouvez configurer des règles indépendantes à différents niveaux de l'arborescence dessystèmes. Vous pouvez également configurer le moment auquel les messages de notificationsont envoyés, en définissant des seuils basés sur l'agrégation et la limitation.

Règles de notification

ePolicy Orchestrator fournit des règles par défaut que vous pouvez activer pour une utilisationimmédiate. Avant d'activer l'une des règles par défaut :

• Spécifiez le serveur de messagerie à partir duquel les messages de notification sont envoyés.

• Vérifiez que l'adresse e-mail du destinataire est bien celle à laquelle vous souhaitez envoyerles e-mails.

Toutes les règles sont créées selon la même procédure de base :

1 Décrivez la règle.

2 Définissez des filtres pour cette règle.

3 Définissez des seuils pour cette règle.

4 Créez le message à envoyer et le type de remise.

Catégories de notifications

Host Intrusion Prevention prend en charge les catégories suivantes de notifications spécifiquesau produit :

• Intrusion dans l'hôte détectée et traitée

• Intrusion dans le réseau détectée et traitée

• Inconnu

Paramètres de notification

Des notifications peuvent être configurées pour toutes ou aucunes des signatures Host IPS (ouIPS réseau). Host Intrusion Prevention prend en charge la spécification d'un seul ID de signatureIPS comme nom de menace ou de règle dans la configuration de la règle de notification. Eninterne, l'attribut ID de signature d'un événement est mappé avec le nom de la menace et unerègle est ainsi créée pour identifier de façon unique une signature IPS.

Les mappages spécifiques des paramètres Host Intrusion Prevention autorisés dans l'objet/lecorps d'un message comprennent :

Valeurs d'événements Host IPS et IPS réseauParamètres

SignatureIDNoms réels de la menace ou de larègle

Adresse IP distanteSystèmes source

Nom du processusObjets concernés

Heure de l'incidentHeure d'envoi de la notification

Mappage ePO de l'ID d'événementID d'événement

Nom de signature localisé (depuis l'ordinateur client)Informations supplémentaires



Mises à jour de la protection Host IPSHost Intrusion Prevention prend en charge de nombreuses versions de contenu et de code declients, le contenu disponible le plus récent s'affichant sur la console ePO. Le nouveau contenuest toujours pris en charge par les versions suivantes, si bien que les mises à jour de contenucontiennent principalement de nouvelles informations ou des modifications mineuresd'informations existantes.

Les mises à jour sont traitées par un package de mise à jour de contenu. Ce package contientdes informations de version de contenu et des scripts de mise à jour. Lors de l'archivage, laversion du package est comparée à la version des informations de contenu les plus récentesdans la base de données. Si le package est plus récent, les scripts qu'il contient sont extraitset exécutés. Les nouvelles informations de contenu sont transmises aux clients à la prochainecommunication agent-serveur.

Les mises à jour contiennent des données associées à la stratégie Règles IPS (signatures IPSet règles de protection des applications) et à la stratégie Applications approuvées (applicationsapprouvées). Lorsque des mises à jour sont appliquées à la stratégie McAfee par défaut, cesstratégies doivent être affectées à la fois pour Règles IPS et Applications approuvées pourpouvoir bénéficier de la protection la plus récente.

La procédure de base consiste à archiver le package de mise à jour dans le référentiel maîtreePO, puis à envoyer les informations mises à jour aux clients. Les clients obtiennent les misesà jour uniquement par communication avec le serveur ePO, et non directement à l'aide deprotocoles FTP ou HTTP.

CONSEIL : affectez toujours la stratégie Règles IPS McAfee par défaut et la stratégied'applications approuvées McAfee par défaut pour bénéficier de toutes les mises à jour decontenu. Si vous modifiez ces stratégies par défaut, la modification n'est pas remplacée par lesmises à jour car les paramètres modifiés de ces stratégies sont prioritaires sur les paramètrespar défaut.

Archivage des packages de mise à jourVous pouvez créer une tâche d'extraction ePO qui archive automatiquement les packages demise à jour de contenu dans le référentiel maître. La tâche télécharge le package de mise àjour de contenu, directement depuis McAfee et à la fréquence indiquée, puis elle l'ajoute auréférentiel maître et met à jour la base de données avec le nouveau contenu Host IntrusionPrevention.

Tâche

1 Accédez à Logiciels | Référentiel maître, puis cliquez sur Planifier l'extraction.

2 Nommez la tâche, par exemple Mises à jour de contenu HIP, puis cliquez sur Suivant.

3 Sélectionnez Extraction du référentiel comme type de tâche, la source du package(McAfeeHttp ou McAfeeFtp), la branche pour la réception du package (Actuelle,Précédente, Evaluation) et le package sélectionné (Contenu Host IntrusionPrevention), puis cliquez sur Suivant.

4 Planifiez la tâche comme il convient, puis cliquez sur Suivant.

5 Vérifiez les informations, puis cliquez sur Enregistrer.



Archivage manuel des packagesLa tâche télécharge le package de mise à jour de contenu, directement depuis McAfee et à lafréquence indiquée, puis elle l'ajoute au référentiel maître et met à jour la base de donnéesavec le nouveau contenu Host Intrusion Prevention.

Vous pouvez télécharger un package de mise à jour et l'archiver manuellement si vous nesouhaitez pas utiliser de tâches d'extraction automatique.

Tâche

1 Téléchargez le fichier depuis McAfeeHttp ou McAfeeFtp.

2 Accédez à Logiciels | Référentiel maître, puis cliquez sur Archiver un package.

3 Sélectionnez le type de package et l'emplacement de ce dernier, puis cliquez sur Suivant.La page Options du package s'affiche.

4 Sélectionnez la branche sur laquelle installer le package, puis cliquez sur Enregistrer. Lepackage s'affiche dans l'onglet Référentiel maître.

Mise à jour des clients avec du contenuUne fois que le package de mise à jour est archivé dans le référentiel maître, vous pouvezenvoyer les mises à jour au client, soit en planifiant une tâche de mise à jour, soit en envoyantun appel de réactivation de l'agent pour une mise à jour immédiate.

Tâche

1 Accédez à Systèmes | Arborescence des systèmes | Tâches client, sélectionnez legroupe auquel envoyer des mises à jour de contenu, et cliquez sur Nouvelle tâche.

2 Nommez la tâche, sélectionnez Mise à jour (McAfee Agent) comme type de tâche, puiscliquez sur Suivant.

3 Sélectionnez Packages sélectionnés, Contenu Host Intrusion Prevention, puiscliquez sur Suivant.

4 Planifiez la tâche comme il convient, puis cliquez sur Suivant.

5 Vérifiez les informations, puis cliquez sur Enregistrer.

Mise à jour de contenu depuis le clientUn client peut également solliciter des mises à jour à la demande si une icône McAfee Agents'affiche dans la barre d'état système de l'ordinateur client.

Tâche

• Cliquez sur l'icône McAfee Agent dans la barre d'état système avec le bouton droit de lasouris, puis sélectionnez Mettre à jour maintenant. La boîte de dialogue ProgressiondeMcAfee AutoUpdate s'affiche et les mises à jour de contenu sont extraites et appliquéesau client.



Configuration des stratégies IPSLes stratégies IPS permettent d'activer et de désactiver la protection Host Intrusion Prevention,de définir le niveau de réaction en fonction des événements et d'offrir la protection parl'application d'exceptions, de signatures et de règles de protection des applications. La protectionIPS est maintenue à jour avec des mises à jour de contenu mensuelles contenant de nouvellessignatures et des signatures révisées ainsi que des règles de protection des applications.

Table des matières

Présentation des stratégies IPS

Activation de la protection IPS

Définition de la réaction relative aux signatures IPS

Définition de la protection IPS

Surveillance des événements IPS

Surveillance des règles IPS de client

Présentation des stratégies IPSLa fonction IPS (Intrusion Prevention System) surveille tous les appels système (niveau noyau)et d'API (niveau utilisateur) et bloque ceux qui pourraient engendrer des activités malveillantes.

Host Intrusion Prevention détermine quel processus utilise un appel, le contexte de sécurité ausein duquel le processus s'exécute et les ressources auxquelles il accède. Au niveau du noyau,un pilote reçoit les entrées redirigées dans la table des appels système en mode utilisateur etsurveille la chaîne d'appels système. Lorsque des appels sont effectués, le pilote compare lademande d'appel avec la base de données des signatures et des règles comportementalescombinées afin de déterminer l'autorisation, le blocage ou la journalisation d'une action. Cetteméthode hybride permet de détecter les attaques les plus connues ainsi que les attaquesinconnues précédemment ou attaques « jour zéro ».

La protection provient également des exceptions, qui permettent d'ignorer les signatures bloquantles activités légitimes ainsi que des règles de protection des applications qui indiquent lesprocessus à protéger.

Stratégies disponibles

Il existe trois stratégies IPS :

Options IPS : active la protection IPS en activant et en désactivant la protection Host IPS etIPS réseau et en appliquant des options spécifiques aux systèmes Windows.

Protection IPS : détermine la réaction adoptée par le système (bloquer, ignorer, journaliser)lorsque des signatures d'un niveau de gravité spécifique (élevé, moyen, faible) sont déclenchées.

Règles IPS : définit la protection IPS en appliquant une analyse des signatures et une analysecomportementale pour assurer une protection contre les attaques connues et de type « jour


zéro ». Les exceptions, qui permettent d'ignorer les signatures bloquant les activités légitimesainsi que des règles de protection des applications qui indiquent les processus à protéger,viennent compléter les signatures. A l'instar de la stratégie Applications approuvées, cettecatégorie de stratégies peut contenir plusieurs instances de stratégie. Les mises à jour decontenu fournissent de nouvelles signatures et des signatures mises à jour ainsi que des règlesde protection des applications pour bénéficier de la protection la plus récente.

Méthodes de mise en place de la protection IPSLe blindage et l'enveloppement, l'interception des appels système et l'installation de moteurset pilotes spécifiques sont autant de méthodes utilisées pour fournir la protection IPS.

Enveloppement et blindage

Host Intrusion Prevention utilise des signatures d'enveloppement et de blindage pour protégerle système des attaques. La stratégie d'enveloppement est utilisée pour empêcher les applicationsd'accéder aux fichiers, données, paramètres de Registre et services se trouvant hors de leurpropre enveloppe d'application. La stratégie de blindage est utilisée pour empêcher des exploitsse trouvant hors de leur propre enveloppe d'application d'accéder à des fichiers, données,paramètres de Registre et services d'application.

Interception des appels système

Host Intrusion Prevention surveille tous les appels système et d'API et bloque les activitésmalveillantes. Il détermine quel processus utilise un appel, le contexte de sécurité au sein duquelle processus s'exécute et les ressources auxquelles il accède. Un pilote Host Intrusion Preventionde niveau noyau, qui reçoit les entrées redirigées dans la table des appels système de niveauutilisateur, surveille la chaîne d'appels système. Lorsque des appels sont effectués, le pilotecompare la demande d'appel avec la base de données des signatures et des règlescomportementales combinées afin de déterminer l'autorisation, le blocage ou la journalisationd'une action.

Les programmes de niveau utilisateur utilisent la fonctionnalité fournie par le noyau pour accéderaux disques durs, aux connexions réseau et à la mémoire partagée. Le processeur empêchel'accès direct aux fonctions de niveau noyau : les programmes de niveau utilisateur utilisentdonc des appels système qui permettent la communication entre les modes noyau et utilisateur.Les appels système exposent toutes les fonctionnalités du noyau requises par les programmesde niveau utilisateur et sont mis en œuvre au sein du système d'exploitation via une table desappels systèmes. Host Intrusion Prevention s'insère dans la chaîne des appels système eninstallant un pilote de niveau noyau et en redirigeant les entrées dans la table des appelssystème. Lorsqu'une application demande un fichier, la requête est dirigée vers le pilote HostIntrusion Prevention, qui la compare à ses jeux de signatures et de règles comportementalesafin de déterminer quelle suite lui donner : l'autoriser ou la bloquer.

Moteur HTTP pour les serveurs web

Host Intrusion Prevention protège des attaques dirigées contre les applications et systèmesweb grâce à son moteur de protection HTTP. Il assure la protection en analysant le flux HTTPdirigé vers une application et en le comparant aux modèles des requêtes HTTP entrantes. Lemoteur de protection HTTP s'installe entre l'élément de déchiffrement et de décodage SSL duserveur web qui convertit les requêtes en texte brut et le moteur du serveur web. Cela permetde s'assurer que le moteur Host Intrusion Prevention reçoit les requêtes en texte brut et bloqueles requêtes malveillantes avant leur traitement. Les signatures HTTP bloquent les attaques de

Configuration des stratégies IPSPrésentation des stratégies IPS


type traversée de répertoires ou par caractères Unicode, la dégradation de site web, le vol dedonnées et le piratage des serveurs.

Moteur SQL pour les serveurs SQL

Host Intrusion Prevention fournit une protection contre les attaques sur les serveurs de basede données grâce à son moteur de vérification SQL qui s'installe entre les bibliothèques réseaude bases de données et le moteur de base de données. Il examine toutes les requêtes SQL etbloque toutes celles qui pourraient déclencher un événement. Les règles de protection SQL ontla faculté de distinguer les utilisateurs, l'origine des requêtes, leur validité et d'autres paramètres.

Les signatures de base de données SQL sont conçues sur la protection principale fournie parles signatures standard à laquelle sont ajoutées des règles spécifiques d'interception et deprotection de base de données. Le moteur SQL Host IPS intercepte les requêtes de base dedonnées entrantes avant leur traitement par le moteur de base de données. Chaque requêteest examinée afin de déterminer si elle correspond à une signature d'attaque connue, si elleest structurée correctement et s'il existe des signes révélateurs d'injection de code SQL.

Les signatures de base de données SQL mettent en œuvre un blindage de base de donnéespour en protéger les fichiers de données, services et ressources. En outre, elles mettent enœuvre l'enveloppement de base de données pour garantir le fonctionnement de cette dernièreau sein d'un profil comportemental bien défini.

SignaturesLes signatures sont des ensembles de règles de prévention des intrusions pouvant être comparéesà un flux de trafic. Par exemple, une signature peut éventuellement rechercher une chaînespécifique dans une requête HTTP. Si la chaîne correspond à une autre dans une attaqueconnue, une action est exécutée. Ces règles protègent des attaques connues.

Les signatures sont conçues pour des applications et des systèmes d'exploitation spécifiques ;par exemple, des serveurs web, tels qu'Apache et IIS. La majeure partie des signatures protègentl'ensemble du système d'exploitation, alors que d'autres sont destinées à des applicationsspécifiques.

Signatures Host IPS

La protection Host Intrusion Prevention s'applique à des systèmes individuels tels que desserveurs, des stations de travail et des ordinateurs portables. Le client Host Intrusion Preventioninspecte le trafic entrant ou sortant d'un système et étudie le comportement des applicationset du système d'exploitation, à la recherche d'une attaque. Lorsqu'une attaque est détectée, leclient la bloque au niveau de la connexion au segment de réseau ou émet des commandes pourmettre fin au comportement induit par l'attaque. Par exemple, il est possible d'empêcher leBuffer Overflow en bloquant les programmes malveillants insérés dans l'espace d'adresse exploitépar une attaque. L'installation de programmes de porte dérobée en même temps que desapplications telles qu'Internet Explorer est bloquée en interceptant et en refusant la commanded'écriture du fichier dans l'application.

Ces signatures :

• protègent des attaques et des conséquences d'une attaque, telles que le blocage de l'écritured'un fichier par un programme ;

• protègent les ordinateurs portables lorsqu'ils se trouvent hors du réseau protégé ;

• protègent des attaques locales introduites par des CD ou des périphériques USB. Ces attaquesconsistent généralement à changer les privilèges de l'utilisateur en « racine » ou« administrateur », afin de mettre en péril d'autres systèmes au sein du réseau ;



• représentent une dernière ligne de défense contre les attaques non détectées par les autresoutils de sécurité ;

• empêchent les attaques internes ou une utilisation inappropriée des périphériques situéssur le même segment de réseau ;

• protègent des attaques au cours desquelles le flux de données chiffrées s'arrête au niveaudu système protégé, par l'examen des données déchiffrées et du comportement ;

• protègent les systèmes sur architectures réseau obsolètes ou inhabituelles de type TokenRing ou FDDI.

Host Intrusion Prevention contient une longue liste par défaut de signatures Host IPS pourtoutes les plates-formes. Vous pouvez modifier les paramètres de niveau de gravité, statut dujournal et création de règles de client de ces signatures ou ajouter des signatures personnaliséesà la liste. Cette liste de signatures est mise à jour, si nécessaire, dès que vous installez unemise à jour de contenu.

Signatures IPS réseau

La protection IPS réseau est également appliquée à des systèmes individuels. Toutes les donnéestransmises entre le système protégé et le reste du réseau sont examinées, à la recherche d'uneéventuelle attaque. Lorsqu'une attaque est identifiée, les données malveillantes sont suppriméesou bloquées et ne pénètrent pas dans le système.

Ces signatures :

• protègent les systèmes situés en aval dans un segment de réseau ;

• protègent les serveurs et les systèmes qui y sont connectés ;

• protègent des attaques réseau par déni de service et les attaques orientées bande passante,qui bloquent ou altèrent le trafic du réseau.

Host Intrusion Prevention contient une liste par défaut d'un petit nombre de signatures IPSréseau pour les plates-formes Windows. Vous pouvez modifier les paramètres de niveau degravité, statut du journal et création de règles de client de ces signatures, mais vous ne pouvezactuellement pas ajouter de signatures réseau personnalisées. Cette liste de signatures est miseà jour, si nécessaire, dès que vous installez une mise à jour de contenu.

Règles comportementalesLes règles comportementales déjouent les attaques « jour zéro » et mettent en œuvre lecomportement correct du système d'exploitation et des applications. Les règles comportementalesheuristiques définissent un profil des activités légitimes. Les activités qui ne correspondent pasà ces règles sont considérées comme suspectes et déclenchent une réponse. Par exemple, unerègle comportementale peut définir que seul un processus de serveur web peut accéder à desfichiers HTML. Si tout autre processus tente d'accéder aux fichiers HTML, une action estentreprise. Ce type de protection, appelé blindage et enveloppement des applications, empêchela compromission des applications et de leurs données et bloque le détournement d'applicationsayant pour but d'en attaquer d'autres.

En outre, les règles comportementales bloquent les exploits par Buffer Overflow, empêchantl'exécution de code résultant d'attaques par Buffer Overflow, l'une des méthodes les pluscourantes d'attaque contre les serveurs et les postes de travail.



RéactionsUne réaction désigne ce que le client Host Intrusion Prevention effectue lorsqu'une signatured'une gravité spécifique est déclenchée.

Le client peut réagir de trois manières :

• Ignorer : aucune réaction ; l'événement n'est pas journalisé et l'opération n'est pas bloquée.

• Journaliser : l'événement est consigné mais l'opération n'est pas bloquée.

• Empêcher : l'événement est journalisé et l'opération est bloquée.

Par exemple, une stratégie de sécurité peut définir que lorsqu'un client reconnaît une signaturede niveau faible, il journalise l'occurrence de la signature et autorise l'exécution de l'opérationet que lorsqu'il reconnaît une signature de niveau élevé, il bloque cette opération.

REMARQUE : la journalisation peut être activée directement sur chaque signature. La stratégieProtection IPS définit automatiquement la réaction relative aux signatures en fonction de leurniveau de gravité.

ExceptionsUne exception ignore une activité bloquée par la réaction à une signature.

Dans certains cas, un comportement défini par une signature comme étant une attaque peutfaire partie de la routine de travail normale d'un utilisateur ou constituer une activité légitimed'une application protégée. Pour ignorer la signature, vous pouvez créer une exception quiautorise des activités légitimes. Par exemple, une exception peut éventuellement définir qu'uneopération est ignorée pour un client particulier.

Vous pouvez créer ces exceptions manuellement ou placer les clients en mode adaptatif et leurpermettre de créer des règles d'exception client. Pour garantir que certaines signatures ne sontjamais ignorées, modifiez la signature et désactivez les options Autoriser les règles du client.Vous pouvez suivre les exceptions du client sur la console ePolicy Orchestrator et les visualiserdans une vue normale, filtrée et agrégée. Utilisez ces règles de client pour créer de nouvellesstratégies ou ajoutez-les à des stratégies existantes que vous pouvez appliquer à d'autres clients.

Les clients Host Intrusion Prevention contiennent un ensemble de règles de signature IPS quidéterminent si l'activité de l'ordinateur client est bienveillante ou malveillante. Lorsqu'une activitémalveillante est détectée, des alertes identifiées comme des événements sont envoyées auserveur ePO et s'affichent dans l'onglet Host IPS sous Rapports.

Le niveau de protection des signatures défini dans la stratégie de protection IPS déterminel'action du client en cas d'événement. Les réactions incluent : ignorer, journaliser ou empêcherl'activité.

Les événements résultant d'une activité légitime qui constituent de faux positifs peuvent êtreignorés par la création d'une exception à la règle de signature ou par le marquage d'applicationscomme approuvées. Les clients en mode adaptatif créent automatiquement des exceptions,appelées règles de client. Les administrateurs peuvent créer manuellement des exceptions àtout moment.

La surveillance des événements et des règles d'exception du client contribue à déterminercomment régler le déploiement pour offrir la protection IPS la plus efficace qui soit.



Règles de protection des applicationsLes règles de protection des applications assurent la protection des listes définies et généréesde processus contre le Buffer Overflow en autorisant ou en bloquant l'accrochage API au niveaude l'utilisateur.

La protection contre le Buffer Overflow est générique pour Host Intrusion Prevention et s'appliqueà tous les processus accrochés. La stratégie IPS contient une liste de règles de protection desapplications par défaut pour les plates-formes Windows. Cette liste est mise à jour, si nécessaire,dès que vous installez une mise à jour de contenu. Vous pouvez automatiquement ajouter desapplications de réseau et à base de services à cette liste si l'option « Inclure automatiquementdes applications de réseau et à base de services dans la liste de protection des applications »est sélectionnée dans la stratégie Options IPS.

EvénementsDes événements IPS sont générés lorsqu'un client réagit à une signature déclenchée.

Ils sont journalisés sous l'onglet Evénements de l'onglet Host IPS sous Rapports. Lesadministrateurs peuvent afficher et surveiller ces événements, afin d'analyser les violations derègles système. Ils peuvent ensuite ajuster les réactions aux événements ou créer des exceptionsou des règles d'application sécurisée, afin de réduire le nombre d'événements et d'affiner lesparamètres de protection.

REMARQUE : le client Host Intrusion Prevention agrège les événements afin qu'aucun d'entreeux ne soit envoyé au serveur ePO. Cela permet d'empêcher l'envoi répété sur le serveur denombreux événements se produisant à des intervalles de moins de 20 secondes. Si un événementse reproduit après 20 secondes, un événement supplémentaire est rapporté. Les administrateurspeuvent afficher tous les événements dans l'onglet Host IPS sous Rapports, dans la consoleePO ou sur le système client.

Activation de la protection IPSLa stratégie Options IPS détermine la méthode d'application de la protection IPS. Elle proposedes options pour les plates-formes Windows et non Windows.

Pour toutes les plates-formes

Les options suivantes sont disponibles pour les clients de toutes les plates-formes :

• Protection Host IPS activée : sélectionnez cette option pour activer la protection IPS viala mise en œuvre de règles Host IPS.

REMARQUE : cette commande est également disponible directement sur le client.

• Mode adaptatif activé (les règles sont apprises automatiquement) : sélectionnezcette option pour activer le mode adaptatif, grâce auquel les clients créent des règlesd'exception automatiquement pour autoriser un comportement bloqué. Utilisez ce modetemporairement lors du réglage d'un déploiement.

REMARQUE : cette commande est également disponible directement sur le client.

• Conserver les règles de client existantes lorsque cette stratégie est mise enœuvre : sélectionnez cette option pour conserver les règles d'exception créées sur le client,

Configuration des stratégies IPSActivation de la protection IPS


soit automatiquement en mode adaptatif, soit manuellement sur un client Windows, lors dela mise en œuvre de cette stratégie.

Pour les plates-formes Windows uniquement

Les options suivantes sont disponibles pour les clients des plates-formes Windows uniquement :

• IPS réseau activé : sélectionnez cette option pour appliquer les règles IPS réseau. Cetteoption est disponible indépendamment de l'application des règles Host IPS.

• Bloquer automatiquement les intrus sur le réseau : sélectionnez cette option pourbloquer le trafic entrant et sortant sur un hôte jusqu'à sa suppression manuelle de la listebloquée sur le client, pendant la durée indiquée (en minutes). Disponible uniquement si IPSréseau est activé.

REMARQUE : ces commandes sont également disponibles directement sur le client.

• Conserver les hôtes bloqués : sélectionnez cette option pour permettre à un client debloquer l'adresse IP d'un hôte conformément aux paramètres définis sous « Bloquerautomatiquement les intrus sur le réseau ». Si cette option n'est pas sélectionnée, l'hôte estbloqué uniquement jusqu'à la prochaine mise en œuvre de la stratégie.

• Inclure automatiquement des applications de réseau et à base de services dansla liste de protection des applications : sélectionnez cette option pour permettre à unclient d'ajouter automatiquement des applications à haut risque à la liste des applicationsprotégées dans la stratégie Règles IPS.

• Protection IPS au démarrage activée : sélectionnez cette option pour appliquer unensemble de règles de protection de fichier et de Registre codées en dur jusqu'au démarragedu service Host IPS sur le client.

Sélection de stratégies

Cette catégorie de stratégies contient une stratégie préconfigurée ainsi qu'une stratégie Mastratégie par défaut modifiable, basée sur la stratégie McAfee par défaut. Vous pouvez visualiseret dupliquer les stratégies préconfigurées ; vous pouvez créer, modifier, renommer, dupliquer,supprimer et exporter les stratégies personnalisées.

La stratégie préconfigurée présente les paramètres suivants :

Stratégie McAfee par défaut

Les protections Host IPS et IPS réseau sont désactivées et les options suivantes sontsélectionnées pour être appliquées lorsque la protection IPS est activée :

• Bloquer automatiquement les intrus sur le réseau pendant 10 minutes (Windows uniquement)

• Conserver les hôtes bloqués (Windows uniquement)

• Conserver les règles du client

CONSEIL : pour activer la protection IPS sur les systèmes clients, l'administrateur Host IntrusionPrevention doit tout d'abord activer les options Host IPS et IPS réseau de cette stratégie, puisappliquer la stratégie aux systèmes clients. La protection IPS n'est pas automatique sur lessystèmes clients, comme c'était le cas dans les versions antérieures du produit.

Configuration de la stratégie Options IPSConfigurez des paramètres dans cette stratégie pour activer et désactiver la protection IPS oupour appliquer le mode adaptatif.

Configuration des stratégies IPSActivation de la protection IPS


Tâche


1 Accédez à Systèmes | Catalogue de stratégies et sélectionnez Host IntrusionPrevention : IPS dans la liste Produit et Options IPS dans la liste Catégorie. La listede stratégies s'affiche.

2 Dans la liste de stratégies Options IPS, cliquez sur Modifier sous Actions pour modifierles paramètres d'une stratégie personnalisée.

REMARQUE : pour les stratégies modifiables, d'autres options sont disponibles : Renommer,Dupliquer, Supprimer et Exporter. Pour les stratégies non modifiables, les options disponiblessont les suivantes : Afficher et Dupliquer.

3 Dans la page Options IPS qui s'affiche, apportez toutes les modifications voulues,notamment aux paramètres de statut, démarrage et IPS réseau, puis cliquez surEnregistrer.

Définition de la réaction relative aux signatures IPSLa stratégie Protection IPS définit le comportement de protection pour les différents niveauxde gravité de signature. Les paramètres de cette stratégie indiquent aux clients la réaction àadopter en cas d'attaque ou de comportement suspect.

L'un des quatre niveaux de gravité suivants est affecté à chaque signature :

• Elevé : signatures des menaces de sécurité ou des actions malveillantes clairementidentifiables. Ces signatures sont spécifiques aux exploits bien identifiés et sont principalementde nature non comportementale. Ces signatures doivent être bloquées sur tous les systèmes.

• Moyen : signatures d'activités comportementales pour lesquelles les applications fonctionnenten dehors de leur enveloppe. Ces signatures doivent être bloquées sur les systèmes critiques,ainsi que sur les serveurs web et les serveurs SQL Server.

• Faible : signatures d'activités comportementales où les ressources applicatives et systèmesont verrouillées et ne peuvent être modifiées. Le blocage de ces signatures améliore lasécurité du système sous-jacent, mais un réglage fin complémentaire est requis.

• Information : signatures d'activités comportementales pour lesquelles les ressourcesapplicatives et système sont modifiées et peuvent indiquer un faible risque pour la sécuritéou une tentative d'accès à des informations système sensibles. A ce niveau, les événementsse produisent lors de l'activité système normale et ne témoignent généralement d'aucuneattaque.

Ces niveaux de gravité indiquent un danger potentiel pour le système et vous permettent dedéfinir des réactions spécifiques pour les différents niveaux de menace potentielle. Vous pouvezmodifier ces niveaux de gravité et les réactions associées à chaque signature. Par exemple,lorsqu'une activité suspecte est détectée, mais qu'elle ne risque pas de causer de problème,vous pouvez choisir la réaction Ignorer. Lorsqu'une activité paraît dangereuse, vous pouvezdéfinir la réaction Empêcher.


Cette catégorie de stratégies contient six stratégies préconfigurées ainsi qu'une stratégie Mastratégie par défaut modifiable, basée sur la stratégie McAfee par défaut. Vous pouvezvisualiser et dupliquer les stratégies préconfigurées ; vous pouvez créer, modifier, renommer,dupliquer, supprimer et exporter les stratégies personnalisées.

Configuration des stratégies IPSDéfinition de la réaction relative aux signatures IPS


Les stratégies préconfigurées incluent :

Tableau 5 : Stratégies de protection IPSFonctionNom

Bloquer les signatures à gravité élevée et ignorer le reste.Protection de base (McAfee par défaut)

Bloquer les signatures à gravité élevée et moyenne etignorer le reste.

Protection améliorée

Bloquer les signatures à gravité élevée, moyenne et faibleet journaliser le reste.

Protection maximale

Bloquer les signatures à gravité élevée, journaliser cellesà gravité moyenne et ignorer le reste.

Préparer pour la protection améliorée

Bloquer les signatures à gravité élevée et moyenne,journaliser celles à gravité faible et ignorer le reste.

Préparer pour la protection maximale

Journaliser les signatures à gravité élevée et ignorer lereste.

Avertissement

Configuration de la stratégie Protection IPSConfigurez des paramètres dans cette stratégie pour définir les réactions proactives pour lessignatures d'un niveau de gravité précis. Les paramètres de cette stratégie indiquent aux clientsla réaction à adopter en cas d'attaque ou de comportement suspect.

Tâche


1 Accédez à Systèmes | Catalogue de stratégies et sélectionnez Host IntrusionPrevention : IPS dans la liste Produit et Protection IPS dans la liste Catégorie.

2 Dans la liste de stratégie Protection IPS qui s'affiche, cliquez surModifier sous Actionspour modifier les paramètres d'une stratégie personnalisée.

REMARQUE : pour les stratégies modifiables, d'autres options telles que Renommer,Dupliquer, Supprimer et Exporter, sont disponibles. Pour les stratégies non modifiables,les options disponibles sont les suivantes : Afficher et Dupliquer.

3 Dans la page Protection IPS qui s'affiche, apportez toutes les modifications voulues, puiscliquez sur Enregistrer.

Définition de la protection IPSLa stratégie Règles IPS applique les mesures de prévention des intrusions. Cette stratégie estune stratégie à plusieurs instances : plusieurs instances peuvent donc être affectées.

Chaque stratégie Règles IPS contient des détails configurables concernant les éléments suivants :

• Signatures

• Règles de protection des applications

• Règles d'exception

Vous devez également consulter la page Host IPS sous Rapports pour utiliser :

• Evénements IPS

Configuration des stratégies IPSDéfinition de la protection IPS


• Règles IPS de client


Cette catégorie de stratégies contient une stratégie par défaut préconfigurée, qui fournit uneprotection IPS de base. Vous pouvez consulter et dupliquer la stratégie préconfigurée ; vouspouvez modifier, renommer, dupliquer, supprimer et exporter les stratégies personnalisées quevous créez. Vous pouvez également affecter plusieurs instances de la stratégie à un ensemblede plusieurs règles de stratégies.

Configuration de la stratégie Règles IPSConfigurez des paramètres dans cette stratégie pour définir des signatures, des règles deprotection des applications et des exceptions.

Tâche


1 Accédez à Systèmes | Catalogue de stratégies et sélectionnez Host IntrusionPrevention : IPS dans la liste Produit et Règles IPS dans la liste Catégorie. La listede stratégies s'affiche.

2 Dans la liste de stratégies Règles IPS, cliquez sur Modifier sous Actions pour modifierles paramètres d'une stratégie personnalisée.

REMARQUE : pour les stratégies modifiables, d'autres options sont disponibles : Renommer,Dupliquer, Supprimer et Exporter. Pour les stratégies non modifiables, les options disponiblessont les suivantes : Afficher et Dupliquer.

3 Dans la page Règles IPS qui s'affiche, apportez toutes les modifications voulues, puiscliquez sur Enregistrer. Pour en savoir plus, consultez les sections Configuration dessignatures IPS, Configuration des règles IPS de protection des applications et Configurationdes exceptions IPS.

Affectation de plusieurs instances de la stratégieL'affectation d'une ou plusieurs instances de la stratégie à un groupe ou système del'arborescence des systèmes ePolicy Orchestrator offre une protection multiusage à stratégieunique.

La stratégie Règles IPS et la stratégie Applications approuvées sont des stratégies à plusieursinstances : il est possible d'affecter plus d'une instance. Une stratégie à plusieurs instancespeut s'avérer utile pour un serveur IIS, par exemple, car vous pouvez appliquer une stratégiegénérale par défaut, une stratégie de serveur et une stratégie IIS, ces deux dernières étantconfigurées pour cibler spécifiquement les systèmes cibles fonctionnant en tant que serveursIIS. Lorsque vous affectez plusieurs instances, vous affectez un ensemble de tous les élémentsde chaque instance de la stratégie.

REMARQUE : la stratégie McAfee par défaut des Règles IPS et Applications approuvées est miseà jour en même temps que le contenu. Il est recommandé d'appliquer systématiquement cesdeux stratégies afin de garantir une protection la plus à jour possible.

Pour les stratégies à plusieurs instances, un lien Stratégie en cours s'affiche pour vous permettrede consulter les détails des instances de stratégie combinées.



Tâche


1 Accédez à Systèmes | Arborescence des systèmes et sélectionnez un groupe dansl'arborescence des systèmes.

REMARQUE : pour un système unique, sélectionnez un groupe de l'arborescence dessystèmes contenant le système, puis dans l'onglet Systèmes, sélectionnez le système puisPlus d'actions | Modifier les stratégies sur un seul système.

2 Sous Stratégies, sélectionnez McAfee Host Intrusion Prevention 8.0 : IPS/Généraldans la liste Produit, puis pour Règles IPS/Applications approuvées, cliquez surModifier les affectations.

3 Dans la page Affectation de stratégie, cliquez sur Nouvelle instance de stratégieet sélectionnez une stratégie dans la liste Stratégies affectées pour l'instance de stratégiesupplémentaire. Pour afficher l'effet combiné des jeux de règles à plusieurs instances,cliquez sur Afficher la stratégie en vigueur.

4 Cliquez sur Enregistrer pour enregistrer toutes les modifications.

FAQ : Stratégies à plusieurs instancesHost Intrusion Prevention propose deux stratégies à plusieurs instances : Règles IPS etApplications approuvées. Ces stratégies permettent l'application de plusieurs stratégiessimultanément sur un seul client. Toutes les autres stratégies sont des stratégies à instanceunique.

Les versions McAfee par défaut de ces stratégies sont automatiquement mises à jour à chaquemise à jour de contenu de sécurité de Host Intrusion Prevention. C'est pourquoi ces stratégiesdoivent toujours être affectées aux clients pour garantir l'application des mises à jour de contenude sécurité. Lorsque plusieurs instances sont appliquées, il en résulte un ensemble d'instancesappelé stratégie appliquée.

Comment utiliser l'affectation de stratégies à emplacements multiples pourrationaliser mon déploiement ?

Tout d'abord, définissez les groupes d'utilisateurs impliqués dans le déploiement qui possèdentune propriété essentielle en commun indiquant quelles ressources protéger et quelles ressourcesnécessitent la création d'exceptions pour fonctionner correctement. Cette propriété peut êtrebasée sur :

• Le service : chaque service doit requérir la protection d'un ensemble unique de ressourceset d'exceptions pour un ensemble unique d'activités d'entreprise.

• L'emplacement : chaque emplacement peut posséder ses propres normes de sécurité ou unensemble unique de ressources à protéger et requérir des exceptions pour les activités del'entreprise.

• Le type d'ordinateur : chaque type d'ordinateur (ordinateur portable, stations de travail,serveurs) peut être doté d'un ensemble unique d'applications à protéger mais être autoriséà exécuter des fonctions commerciales essentielles.

Ensuite, protégez les ressources et créez des exceptions et applications approuvées pour chaquegroupe. Vous pouvez utiliser le mode adaptatif pour déterminer les ressources à protéger ouapprouver pour un groupe donné. Puis, créez des instances de stratégies Règles IPS etApplications approuvées pour chaque groupe d'utilisateurs (une stratégie Règle IPS pour unservice donné, une pour un emplacement et une pour un type d'ordinateur), et appliquez



l'instance appropriée. Sans stratégie Règles IPS à plusieurs instances, une combinaison detrois services, trois emplacements et trois types d'ordinateur requiert 27 stratégies ; avecl'approche à plusieurs instances, seules neuf sont nécessaires.

Mais, les règles des différentes stratégies affectées se contredisent ! Comment estcalculée la stratégie appliquée ?

Il est possible qu'une règle, dans une instance, possède des paramètres contredisant ceux dela même règle dans une autre instance de stratégie. Host IPS contient des règles permettantde gérer ces conflits lors de l'établissement de la stratégie appliquée complète.

Pour la stratégie Règles IPS :

• Le niveau de gravité appliqué pour une signature est le niveau personnalisé le plus élevé.L'ordre de priorité est le suivant : Elevé, Moyen, Faible, Informations, Désactivé. Si le niveaude gravité n'est pas personnalisé, la valeur par défaut est appliquée.

• Le statut de journal appliqué pour une signature est le statut de journal personnalisé. S'ilest personnalisé dans deux stratégies Règles IPS appliquées ou plus, le statut de journalpersonnalisé activé a priorité sur le statut désactivé. Si le statut du journal n'est paspersonnalisé, la valeur par défaut est appliquée.

• Le paramètre des règles de client appliqué pour une signature est le paramètre personnalisé.S'il est personnalisé dans deux stratégies Règles IPS appliquées ou plus, les règles de clientpersonnalisées activées ont priorité sur les règles de client désactivées. Si le paramètre desrègles de client n'est pas personnalisé, la valeur par défaut est appliquée.

• Le jeu d'exceptions appliqué est l'ensemble de toutes les exceptions appliquées.

Pour la stratégie Applications Approuvées :

• Le jeu de stratégies Applications approuvées appliqué est l'ensemble de toutes les applicationsapprouvées.

• Lorsque vous marquez une application comme approuvée pour IPS ou le pare-feu, la prioritéest donnée à ce marquage même si la même application n'est pas marquée comme approuvéepour cette fonction dans une autre stratégie Applications approuvées affectée.

Fonctionnement des signatures IPSLes signatures décrivent des menaces de sécurité, des méthodes d'attaque et des intrusionsdans le réseau. Chaque signature possède un niveau de gravité par défaut, qui indique le dangerpotentiel représenté par une attaque :

• Elevé : signatures qui protègent contre les menaces de sécurité ou les actions malveillantesclairement identifiables. La plupart de ces signatures sont spécifiques aux exploits bienidentifiés et sont principalement de nature non comportementale. Elles doivent être bloquéessur tous les hôtes.

• Moyen : signatures de nature comportementale et empêchant les applications d'effectuerdes actions en dehors de leur environnement (pertinent pour les clients protégeant lesserveurs web et Microsoft SQL Server 2000). Sur les serveurs critiques, vous pouvez choisirde bloquer ces signatures après un réglage fin.

• Faible : signatures de nature comportementale et concernant le blindage des applications.Le blindage consiste à verrouiller les ressources applicatives et système afin qu'elles nepuissent pas être modifiées. Le blocage de ces signatures améliore la sécurité du systèmesous-jacent, mais un réglage fin complémentaire est requis.

• Information : signale une modification de la configuration du système entraînant un faiblerisque pour la sécurité ou bien une tentative d'accès aux informations système sensibles. A



ce niveau, les événements se produisent lors de l'activité système normale et ne témoignentgénéralement d'aucune attaque.

Types de signatures

La stratégie Règles IPS peut contenir trois types de signatures :

• Signatures Host IPS : signatures Host Intrusion Prevention par défaut.

• Signatures IPS personnalisées : signatures Host Intrusion Prevention personnaliséesque vous créez.

• Signatures IPS réseau : signatures de prévention des intrusions réseau par défaut.

Signatures Host IPS

Les signatures de prévention des intrusions basées sur l'hôte détectent et bloquent les attaquescontre le système, et contiennent les règles Fichier, Registre, Service et HTTP. Elles sontdéveloppées par les experts en sécurité Host Intrusion Prevention et fournies avec le produitet avec des mises à jour de contenu.

Chaque signature possède une description et un niveau de gravité par défaut. S'il possède lesprivilèges appropriés, l'administrateur peut modifier le niveau de gravité d'une signature.

Lors de leur déclenchement, les signatures basées sur l'hôte génèrent un événement IPS quis'affiche dans l'onglet Evénements de l'onglet Host IPS sous Rapports.

Signatures IPS personnalisées

Les signatures personnalisées sont des signatures basées sur l'hôte que vous pouvez créer pourrenforcer la protection par défaut. Par exemple, lorsque vous créez un nouveau dossier contenantdes fichiers importants, vous pouvez créer une signature personnalisée pour le protéger.

REMARQUE : vous ne pouvez pas créer des signatures personnalisées basées sur le réseau.

Signatures IPS réseau

Les signatures de prévention d'intrusion basées sur le réseau détectent et bloquent les attaquesréseau connues survenant sur le système hôte. Elles s'affichent dans la même liste de signaturesque les signatures basées sur l'hôte.

Chaque signature possède une description et un niveau de gravité par défaut. S'il possède lesprivilèges appropriés, l'administrateur peut modifier le niveau de gravité d'une signature.

Vous pouvez créer des exceptions pour les signatures basées sur le réseau ; cependant, vousne pouvez pas spécifier d'attributs supplémentaires tels que l'utilisateur du système d'exploitationou le nom du processus. Les détails avancés contiennent les paramètres spécifiques au réseau,tels que les adresses IP, que vous pouvez spécifier.

Les événements générés par les signatures basées sur le réseau s'affichent en même tempsque les événements basés sur l'hôte, dans l'onglet Evénements ; ils présentent également lemême comportement que les événements basés sur l'hôte.

Pour utiliser des signatures, cliquez sur l'onglet Signatures dans la stratégie Règles IPS.

Configuration des signatures IPSModifiez les signatures par défaut, ajoutez des signatures personnalisées et déplacez dessignatures vers une autre stratégie depuis l'onglet Signatures de la stratégie Règles IPS.



Tâche



2 Sous Actions, cliquez sur Modifier pour apporter des modifications sur la page RèglesIPS , puis cliquez sur l'onglet Signatures.

3 Effectuez l'une des opérations suivantes :


Utilisez les filtres situés au-dessus de la liste designatures. Il est possible d'effectuer un filtrage par

Trouver une signature dans la liste

gravité de signature, type, plate-forme, statut dujournal, selon que des règles de client sont autorisées,ou un texte spécifique contenant le nom des signatures,des remarques ou la version du contenu. Cliquez surEffacer pour supprimer les paramètres du filtre.

Sous Actions, cliquez sur Modifier.Modifier une signature

• Si la signature est une signature par défaut,modifiez les paramètres Niveau de gravité,Règles de client ou Statut du journal, etsaisissez les éventuelles remarques sur lamodification dans la zone Remarque. Cliquez surOK pour enregistrer les modifications. Lesparamètres des signatures par défaut modifiéespeuvent être rétablis en cliquant sur Restaurersous Actions.

REMARQUE : lorsque vous modifiez une signatureet enregistrez la modification, la signature estretriée dans la liste. Par conséquent, vous devrezpeut-être rechercher la signature modifiée dans laliste.

• Si la signature est une signature personnalisée,modifiez les paramètres Niveau de gravité,Règles de client, Statut du journal ouDescription, et saisissez les éventuelles remarquessur la modification dans la case Remarque. Cliquezsur OK pour enregistrer les modifications.

REMARQUE : vous pouvez apporter des modificationsà plusieurs signatures simultanément en sélectionnantles signatures et en cliquant sur Modifier plusieurséléments. Dans la page qui s'affiche, sélectionnez lesparamètres des trois éléments modifiables puis cliquezsur OK.

Cliquez sur Nouveau ou sur Nouveau (Assistant).Ajouter une signature

Sous Actions, cliquez sur Supprimer.

REMARQUE : seules les signatures personnaliséespeuvent être supprimées.

Supprimer une signature personnalisée

Sélectionnez une signature et cliquez sur Copier verspour la copier vers une autre stratégie. Indiquez la

Copier une signature vers une autre stratégie




stratégie vers laquelle vous souhaitez copier la signatureet cliquez sur OK.

REMARQUE : il est possible de copier plusieurssignatures en même temps en sélectionnant toutes lessignatures avant de cliquer sur Copier vers.

4 Cliquez sur Enregistrer pour enregistrer les modifications éventuelles.

Création de signatures personnaliséesCréez des signatures Host Intrusion Prevention personnalisées depuis l'onglet Signatures de lastratégie Règles IPS pour protéger des opérations spécifiques non couvertes par les signaturespar défaut.

Tâche


1 Dans l'onglet Signatures de la stratégie Règles IPS, cliquez sur Nouveau. Une pageSignature vierge s'affiche.

2 Dans l'onglet Signature IPS de la signature, saisissez un nom (requis) et sélectionnez laplate-forme, le niveau de gravité, le statut du journal et indiquez s'il faut autoriser la créationde règles de client. Activez la case pour modifier les valeurs par défaut du niveau de gravité,des règles de client et du statut du journal.

3 Dans l'onglet Description, saisissez une description de l'élément protégé par la signature.Cette description s'affiche dans la boîte de dialogue Evénement IPS lorsque la signatureest déclenchée.

4 Dans l'onglet Sous-règles, sélectionnez Nouvelle sous-règle standard ou Nouvellesous-règle expert pour créer une règle.

Méthode expertMéthode standard

La méthode expert, recommandée uniquement auxutilisateurs expérimentés, vous permet de créer la

La méthode standard limite le nombre de types quevous pouvez inclure dans la règle de signature.

syntaxe de la règle sans limiter le nombre de types àinclure dans la signature. Avant d'écrire une règle,assurez-vous de bien connaître la syntaxe appropriée.

1 Saisissez la syntaxe de la règle pour lessignatures, lesquelles peuvent inclure un nom

1 Nommez la signature (requis) et choisissez untype de classe de règle. Options possibles : Files,Hook, HTTP, Program, Registry, Services et SQL. pour la règle. Utilisez le format ANSI et la

syntaxe TCL.2 Spécifiez les opérations de classe bloquées qui

déclenchent la signature. 2 Cliquez sur OK et la règle est ajoutée à la listeen haut de l'onglet Sous-règle. La règle est

3 Indiquez si vous voulez inclure ou exclure unparamètre particulier, le paramètre en questionet sa valeur.

compilée et la syntaxe est vérifiée. Si lavérification de la règle échoue, une boîte dedialogue décrivant l'erreur s'affiche. Corrigezl'erreur et vérifiez à nouveau la règle.

4 Incluez un exécutable en tant que paramètreavec des informations sur l'une desquatre valeurs suivantes au moins : descriptiondu fichier, nom de fichier, empreinte de hachageMD5 ou signataire.

5 Cliquez sur OK et la règle est ajoutée à la listeen haut de l'onglet Sous-règle. La règle estcompilée et la syntaxe est vérifiée. Si la



Méthode expertMéthode standard

vérification de la règle échoue, une boîte dedialogue décrivant l'erreur s'affiche. Corrigezl'erreur et vérifiez à nouveau la règle.

Pour en savoir plus sur l'utilisation des types de classes, opérations et paramètres, consultezla section appropriée dans Création d'exceptions et de signatures personnalisées.

5 Cliquez sur OK.

REMARQUE : vous pouvez inclure plusieurs règles dans une signature.

Création de signatures personnalisées à l'aide d'un AssistantUtilisez l'assistante de signature personnalisée pour simplifier la création des signatures.

REMARQUE : les signatures créées à l'aide de l'assistant n'offrent aucune flexibilité pour lesopérations protégées par la signature car vous ne pouvez pas modifier, ajouter ou supprimerd'opérations.

Tâche


1 Dans l'onglet Signatures de la stratégie Règles IPS, cliquez sur Nouveau (Assistant).

2 Dans l'onglet Informations de base, entrez un nom et sélectionnez la plate-forme, leniveau de gravité, le statut du journal et indiquez s'il faut autoriser la création de règlesde client. Cliquez sur Suivant pour continuer.

3 Dans l'onglet Description, saisissez une description de l'élément protégé par la signature.Cette description s'affiche dans la boîte de dialogue Evénement IPS lorsque la signatureest déclenchée.

4 Dans l'onglet Définition de la règle, sélectionnez l'élément à protéger des modificationset saisissez les détails afférents.

5 Cliquez sur OK.

FAQ : Utilisation des caractères génériques dans les règles IPSLes règles Host IPS admettent l'utilisation de caractères génériques pour la saisie des valeursde certains champs.

Quels caractères génériques puis-je utiliser pour les valeurs de chemin et d'adresse ?

Pour les chemins de fichiers, clés de Registre, fichiers exécutables et URL, utilisez les caractèresgénériques suivants :

DéfinitionCaractère

Caractère unique.? (point d’interrogation)

Plusieurs caractères, excepté / et \. A utiliser pourreprésenter le contenu au niveau racine d'un dossier, sanssous-dossier.

* (astérisque)

Plusieurs caractères, y compris / et \.** (deux astérisques)




Caractère générique d'échappement.

REMARQUE : l'échappement correspondant à ** est |*|*.

| (barre verticale)

Quels caractères génériques puis-je utiliser pour toutes les autres valeurs ?

Pour les valeurs ne contenant habituellement aucune information de chemin avec barres obliques,utilisez les caractères génériques suivants :



Plusieurs caractères, y compris / et \.* (astérisque)

Caractère générique d'échappement.| (barre verticale)

Quels caractères génériques puis-je utiliser pour les valeurs de sous-règle designature expert ?

Pour toutes les valeurs, lors de la création d'uns sous-règle via la méthode expert :



Caractères multiples, y compris / et \. Exemple : files {Include “C:\*.txt” ” }

* (astérisque)

Caractères multiples, sauf / et \. A utiliser pour représenterle contenu au niveau racine d'un dossier, mais pas des

& (esperluette)

sous-dossiers. Exemple : files { Include “C:\test\\&.txt”}

Caractère générique d'échappement. Exemple : files {Include “C:\test\\yahoo!.txt” }

! (point d’exclamation)

Fonctionnement des règles IPS de protection des applicationsLes règles de protection des applications déterminent quels processus reçoivent la protectiongénérique contre le Buffer Overflow de la part de Host Intrusion Prevention. Ces règles autorisentou bloquent l'accrochage API au niveau de l'utilisateur pour des listes de processus définies etgénérées. L'accrochage de fichiers et de Registre au niveau du noyau n'est pas affecté. Seulsles processus de la liste dont le statut d'inclusion est inclus bénéficient de la protection contrele Buffer Overflow.

Host Intrusion Prevention fournit une liste statique de processus autorisés ou bloqués. Cetteliste est mise à jour avec les versions de mise à jour du contenu qui s'appliquent dans la stratégieRègles IPS McAfee par défaut. En outre, les processus autorisés pour l'accrochage sont ajoutésde façon dynamique à la liste lorsque l'analyse des processus est activée. Cette analyse esteffectuée dans les circonstances suivantes :

• chaque fois que le client est démarré et que les processus en cours d'exécution sonténumérés ;

• chaque fois qu'un processus démarre ;

• chaque fois que la liste de protection des applications est mise à jour par le serveur ePolicyOrchestrator ;



• chaque fois que la liste des processus qui écoutent sur un port réseau est mise à jour.

REMARQUE : pour la mise à jour dynamique de la liste, l'option de stratégie Options IPSpermettant d'« Inclure automatiquement des applications de réseau et à base de services dansla liste de protection des applications » doit être sélectionnée. Cette option inclut de manièreimplicite toutes les applications et tous les services Windows à l'écoute sur les ports réseau.

Cette analyse implique la vérification préalable de l'exclusion du processus de la liste de protectiondes applications. S'il n'est pas exclu, elle vérifie ensuite si le processus est inclus à la liste deprotection des applications. S'il n'y est pas inclus, le processus est analysé pour définir s'il écoutesur un port réseau ou s'il s'exécute comme un service. Dans le cas contraire, l'accrochage estbloqué et le processus n'est pas protégé ; s'il écoute sur un port ou s'il s'exécute comme unservice, l'accrochage est autorisé et le processus est protégé.

Figure 1 : Analyse des règles de protection des applications

Le composant IPS garde en mémoire cache les informations concernant les processus en coursd'exécution, permettant ainsi de suivre les informations d'accrochage. Le composant pare-feu



détermine si un processus écoute sur un port réseau, appelle une API exportée par le composantIPS et transmet les informations à l'API pour les ajouter à la liste surveillée. Lorsqu'il appellel'API, le composant IPS localise l'entrée correspondante dans sa liste des processus en coursd'exécution. Un processus qui n'est pas déjà accroché et qui ne fait pas partie de la liste bloquéestatique est alors accroché. Le pare-feu fournit le PID (ID de processus), essentiel pourrechercher un processus dans le cache.

L'API exportée par le composant IPS permet également à l'interface utilisateur du client derécupérer la liste des processus actuellement accrochés, mise à jour dès qu'un processus estaccroché ou décroché. L'accrochage d'un processus est désactivé si le serveur envoie une listede processus mise à jour, qui spécifie que le processus déjà accroché ne doit pas le rester.Lorsque la liste d'accrochage des processus est mise à jour, chaque processus répertorié dansle cache des processus en cours d'exécution est comparé avec la nouvelle liste. Si la liste indiquequ'un processus doit être accroché et qu'il ne l'est pas encore, ce processus est alors accroché.Si la liste indique qu'un processus ne doit pas être accroché et qu'il l'est déjà, l'accrochage dece processus est alors désactivé.

Les listes d'accrochage des processus peuvent être affichées et modifiées dans l'onglet Règlesde protection des applications. L'interface utilisateur du client, contrairement à l'affichage dela stratégie Règles IPS, contient une liste de tous les processus d'application accrochés.

REMARQUE : pour empêcher l'injection d'un fichier DLL dans un exécutable lors de l'utilisationde hook:set_windows_hook, incluez l'exécutable dans la liste de protection des applications.

Configuration des règles IPS de protection des applicationsModifiez, ajoutez et supprimez des règles et déplacez des règles vers une autre stratégie depuisl'onglet Règles de protection d'applications IPS au niveau de la stratégie Règles IPS.

Tâche



2 Sous Actions, cliquez sur Modifier pour apporter des modifications sur la page RèglesIPS , puis cliquez sur l'onglet Règles de protection des applications.



Utilisez les filtres situés au-dessus de la listed'applications. Vous pouvez effectuer un filtrage en

Trouver une règle d'application dans la liste

fonction du statut de la règle, de son inclusion ou d'untexte spécifique contenant un nom de processus, unchemin de processus ou un nom d'ordinateur. Cliquezsur Effacer pour supprimer les paramètres du filtre.

Sous Actions, cliquez sur Modifier.Modifier une règle d'application

Cliquez sur Nouveau.Ajouter une règle d'application

Sous Actions, cliquez sur Supprimer.Supprimer une règle d'application

Sélectionnez une règle et cliquez sur Copier vers pourla copier vers une autre stratégie. Indiquez la stratégie

Copier une règle d'application vers une autre stratégie




vers laquelle vous souhaitez copier la règle et cliquezsur OK.

REMARQUE : il est possible de copier plusieurs règlesen même temps en sélectionnant toutes les règles avantde cliquer sur Copier vers.


Création de règles de protection des applicationsSi la stratégie Règles IPS ne contient pas la règle de protection des applications dont vous avezbesoin dans votre environnement, vous pouvez en créer une.

Tâche


1 Dans l'onglet Règles de protection des applications de la stratégie Règles IPS, effectuezl'une des actions suivantes :

• Cliquez sur Nouveau. Une page Application vierge s'affiche.

• Sélectionnez une règle et cliquez sur Dupliquer. Après avoir nommé et enregistré lanouvelle règle, cliquez sur Modifier.

2 Saisissez le nom (requis), le statut, indiquez si la règle d'application est incluse dans la listede protection, et les fichiers exécutables auxquels vous souhaitez appliquer la règle.

REMARQUE : vous pouvez ajouter un fichier exécutable existant à partir du catalogue HostIPS en cliquant sur Ajouter depuis le catalogue. Pour en savoir plus sur le catalogue,consultez la section Fonctionnement du catalogue Host IPS sous Configuration des stratégiesde pare-feu.


Fonctionnement des exceptions IPSParfois, le comportement normal d'un utilisateur, dans le cadre de son travail, peut être interprétécomme une attaque. Ce phénomène s'appelle un faux positif. Pour éviter les faux positifs, créezune exception pour ce comportement spécifique.

Les exceptions vous permettent de réduire les faux positifs, de limiter les transferts de donnéesinutiles vers la console et de garantir que les alertes correspondent à des menaces de sécuritévéritables.

Par exemple, lors des procédures de test des clients, un client reconnaît la signature EnveloppeOutlook – Modification suspecte d'un fichier exécutable. Cette signature indique que l'applicationde messagerie électronique Outlook tente de modifier une application en dehors de l'enveloppede ses ressources habituelles. Un événement déclenché par cette signature est donc la caused'une alerte, car il est possible qu'Outlook soit en train de modifier une application n'étantgénéralement pas associée à la messagerie électronique, par exemple Notepad.exe. Dans cecas, vous pouvez raisonnablement suspecter qu'un cheval de Troie a pénétré le système.Toutefois, si le processus qui a déclenché l'événement est normalement responsable de l'envoi



des messages électroniques, par exemple, l'enregistrement d'un fichier avec Outlook.exe, vousdevez créer une exception autorisant cette action.

CONSEIL : si vous créez une signature personnalisée empêchant la modification de fichiers(modification, renommage, suppression) dans un dossier particulier mais que vous souhaitezautoriser une application à effectuer des modifications, créez une exception pour autoriser cetteapplication à modifier les fichiers. Vous pouvez également ajouter ce paramètre dans la sous-règlede la signature personnalisée en définissant l'application concernée sur Exclure.

Configuration des exceptions IPSModifiez, ajoutez et supprimez des exceptions et déplacez des exceptions vers une autre stratégiedepuis l'onglet Exceptions des règles IPS au niveau de la stratégie Règles IPS.

Tâche



2 Sous Actions, cliquez sur Modifier pour apporter des modifications sur la page RèglesIPS , puis cliquez sur l'onglet Règles d'exception.



Utilisez les filtres situés au-dessus de la listed'exceptions. Vous pouvez également effectuer un

Trouver une règle d'exception dans la liste

filtrage en fonction du statut de la règle, de la date demodification ou d'un texte spécifique contenant la règleou des remarques. Cliquez sur Effacer pour supprimerles paramètres du filtre.

Sous Actions, cliquez sur Modifier.Modifier une règle d'exception

Cliquez sur Nouveau.Ajouter une règle d'exception

Sous Actions, cliquez sur Supprimer.Supprimer une règle d'exception

Sélectionnez une règle et cliquez sur Copier vers pourla copier vers une autre stratégie. Indiquez la stratégie

Copier une règle d'exception vers une autre stratégie

vers laquelle vous souhaitez copier la règle et cliquezsur OK.

REMARQUE : il est possible de copier plusieurs règlesen même temps en sélectionnant toutes les règles avantde cliquer sur Copier vers.

4 Cliquez sur Enregistrer pour enregistrer les modifications.

Création de règles d'exceptionPour autoriser un comportement empêché par une signature, créez une exception pour cettesignature. Ceci peut supposer la définition de valeurs et de paramètres d'exception. Pour plusd'informations sur ce point, consultez la section Création d'exceptions et de signaturespersonnalisées.



Tâche


1 Dans l'onglet Règles d'exception de la stratégie Règles IPS, cliquez sur Nouveau.

2 Attribuez un nom à l'exception, assurez-vous qu'elle est activée, puis incluez les signaturesauxquelles elle s'applique.

3 Définissez les fichiers exécutables, paramètres ou groupes de domaines jouant un rôled'exception comportementale dans la signature.


Surveillance des événements IPSUn événement IPS est déclenché lorsqu'une violation de sécurité, telle que définie par unesignature, est détectée et signalée au serveur ePO.

L'événement IPS s'affiche sur l'onglet Evénements de l'onglet Host IPS (ou dans l'onglet Journaldes événements avec tous les autres événements relatifs à tous les autres produits managéspar ePolicy Orchestrator) sous Rapports, avec l'un des quatre critères de niveau de gravité :Elevé, Moyen, Faible et Informations.

REMARQUE : lorsque deux événements sont déclenchés par la même opération, la réactionsignature la plus forte est mise en œuvre.

A partir de la liste des événements générés, vous pouvez déterminer les événements pouvantêtre autorisés et ceux qui indiquent un comportement suspect. Pour autoriser des événements,configurez le système comme suit :

• Exceptions : règles ignorant une règle de signature.

• Applications approuvées : applications marquées comme approuvées dont lefonctionnement pourrait autrement être bloqué par une signature.

Ce processus de réglage réduit le nombre d'événements au minimum, libérant du temps pouranalyser les événements sérieux qui se produisent.

Réaction à des événements

Dans certaines circonstances, le comportement normal d'un utilisateur, dans le cadre de sontravail, peut être interprété comme une attaque. Lorsque cela se produit, vous pouvez créerune règle d'exception ou une règle d'application approuvée pour le comportement en question.

La fonction de création d'exceptions et d'applications approuvées vous permet de réduire lesfaux positifs et garantit que les notifications que vous recevez sont pertinentes.

Lors de la procédure de test des clients, il est possible que certains reconnaissent la signatured'accès à la messagerie électronique. Un événement déclenché par cette signature estgénéralement la cause d'une alerte. Des pirates peuvent installer des applications de cheval deTroie utilisant le port TCP/IP 25 généralement réservé aux applications de messagerieélectronique, et cette action serait alors détectée par la signature affectée à l'activité du portTCP/IP 25 (SMTP). Néanmoins, un trafic normal de courrier électronique peut égalementcorrespondre à cette signature. Lorsque vous rencontrez cette signature, recherchez le processusayant déclenché l'événement. Si ce processus n'est pas habituellement associé à la messagerieélectronique, par exemple Notepad.exe, vous pouvez raisonnablement suspecter l'implantationd'un cheval de Troie. Si le processus qui a déclenché l'événement est habituellement responsablede l'envoi des courriers électroniques (par exemple Outlook), créez une exception pour cetévénement.

Configuration des stratégies IPSSurveillance des événements IPS


Il est également possible qu'un certain nombre de clients déclenchent une signature deprogrammes de démarrage, ce qui indique la modification ou la création d'une valeur dans lesclés de Registre :HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce

Etant donné que les valeurs stockées dans ces clés indiquent des programmes exécutés audémarrage de l'ordinateur, la reconnaissance de cette signature peut indiquer que quelqu'untente d'altérer votre système. Cela peut également simplement signifier que l'un des employésde la société est en train d'installer WinZip sur son ordinateur. L'installation de WinZip ajouteune valeur à la clé de Registre Run.

Pour éviter que des événements ne se déclenchent à chaque fois que quelqu'un installe unlogiciel autorisé, vous pouvez créer des exceptions à ces événements.

Filtrage et agrégation des événements

L'application de filtres génère une liste d'événements qui satisfont la totalité des variablesdéfinies dans les critères de filtrage. Il en résulte une liste d'événements incluant tous lescritères. L'agrégation des événements génère une liste d'événements regroupés selon la valeurassociée à chacune des variables sélectionnées dans la boîte de dialogue « Sélectionner lescolonnes à agréger ». Il en résulte une liste d'événements affichés en groupes et triés selon lavaleur associée aux variables sélectionnées.

Gestion des événements IPSL'affichage des événements IPS provenant des clients et leur utilisation pour créer des exceptionsou des applications approuvées permettent de régler et de renforcer la sécurité.

REMARQUE : les événements IPS s'affichent également dans l'onglet Journal des événementssous Rapports, combinés à tous les autres événements de la totalité des systèmes. L'accès auxonglets Evénements sous Rapports nécessite des ensembles d'autorisations supplémentaires,notamment des autorisations de consultation pour l'accès au journal des événements, auxsystèmes et à l'arborescence des systèmes.

Tâche


1 Accédez à Rapports | Host IPS 8.0, puis cliquez sur Evénements.

2 Dans l'arborescence des systèmes, sélectionnez le groupe dont vous souhaitez afficher lesévénements IPS. Tous les événements associés au groupe s'affichent. Par défaut, tous lesévénements ne s'affichent pas. Seuls les événements survenus au cours des 30 derniersjours s'affichent.

3 Déterminez l'affichage souhaité de la liste d'événements :


Sélectionnez Options | Choisir les colonnes. Dansla page Sélectionner les colonnes, ajoutez, supprimezou réorganisez les colonnes à afficher.

Sélectionner les colonnes à afficher

Cliquez sur l'en-tête de colonne.Trier par colonne

Dans le menu Filtres, sélectionnez Ce groupeuniquement ou Ce groupe et tous lessous-groupes.

Filtrer par groupes




Sélectionnez le type d'événement, le statut marqué (lu,non lu, masqué, non masqué), le niveau de gravité ou

Filtrer par critères d'événements

la date de création. Cliquez sur Effacer pour supprimerles paramètres du filtre.

Cliquez sur Agréger, sélectionnez les critères selonlesquels agréger des événements, puis cliquez sur OK.

Agréger des exceptions

Cliquez sur Effacer pour supprimer les paramètresd'agrégation.

Cliquez sur l'événement. La page des détails du journaldes événements s'affiche.

Afficher les détails de l'événement

4 Marquez les événements pour faciliter leur filtrage et leur suivi : activez la case à cocherd'un ou de plusieurs événements, puis cliquez sur la commande appropriée.

REMARQUE : la commande peut se trouver dans le menu Plus d'actions.

Pour...Cliquez sur…

Marquer l'événement comme luMarquer comme lu

Marquer un événement lu comme non luMarquer comme non lu

Masquer l'événementMarquer comme masqué

Afficher les événements masqués. Remarque : vousdevez d'abord filtrer les événements masqués pourpouvoir les sélectionner.

Marquer comme non masqué

5 Créez une règle d'exception ou d'application approuvée. Sélectionnez un événement etcliquez sur Nouvelle exception pour créer une exception ; ou cliquez sur Nouvelleapplication approuvée pour créer une règle d'application. Pour en savoir plus, consultezla section Création d'une exception à partir d'un événement ou Création d'une applicationapprouvée à partir d'un événement.

Création d'une exception à partir d'un événementPour un événement affiché sous Rapports dans l'onglet Evénements de Host IPS 8.0 ou dansla page Journal des événements, vous avez la possibilité de créer une exception.

Tâche


1 Activez la case de l'événement pour lequel vous souhaitez créer une exception.

2 Cliquez sur Nouvelle exception.

REMARQUE : la commande peut se trouver dans le menu Actions.

3 Dans la boîte de dialogue qui s'affiche, sélectionnez une stratégie Règles IPS de destinationet cliquez sur OK. L'exception est créée et ajoutée automatiquement à la fin de la listed'exceptions de la stratégie Règles IPS de destination.



Création d'une application approuvée à partir d'un événementPour un événement affiché sous Rapports dans l'onglet Evénements de Host IPS 8.0 ou dansla page Journal des événements, vous avez la possibilité de créer une application approuvée.

Tâche


1 Activez la case de l'événement pour lequel vous souhaitez créer une application approuvée.

2 Cliquez sur Nouvelle application approuvée.

REMARQUE : la commande peut se trouver dans le menu Plus d'actions.

3 Dans la boîte de dialogue qui s'affiche, sélectionnez une stratégie Application approuvéede destination et cliquez sur OK. L'exception est créée et ajoutée automatiquement à lafin de la liste d'exceptions de la stratégie Application approuvée de destination. Vous pouvezafficher ou modifier les détails de la nouvelle application à partir d'ici.

Surveillance des règles IPS de clientVous devez analyser régulièrement les règles IPS pour le client créées automatiquement lorsqueles clients sont en mode adaptatif, ou créées manuellement sur le client, à condition que l'optionde stratégie Interface utilisateur du client autorise la création manuelle de règles de client.

Les règles IPS de client sont des exceptions créées sur un client pour autoriser une fonctionnalitébloquée par une signature. Soyez particulièrement attentif aux exceptions relatives à dessignatures dont le niveau de gravité est élevé : ces dernières peuvent indiquer un problèmesérieux ou simplement un faux positif. S'il s'agit d'un faux positif, déplacez l'exception vers unestratégie Règles IPS ou ajustez le niveau de gravité de la signature.

REMARQUE : l'accès aux règles IPS de client dans l'onglet Host IPS sous Rapports nécessited'autres autorisations que celle relative à Host Intrusion Prevention (IPS), notamment desautorisations de consultation pour l'accès au journal des événements, aux systèmes et àl'arborescence des systèmes.

Vous pouvez trier, filtrer et agréger les exceptions et en afficher les détails. Vous pouvez ensuitepromouvoir une partie ou la totalité des exceptions du client au rang de stratégie Règles IPSparticulière pour réduire les faux positifs d'un environnement système particulier.

Utilisez la fonction d'agrégation pour combiner les exceptions possédant les mêmes attributs,afin qu'une seule exception agrégée s'affiche, tout en indiquant le nombre de fois où lesexceptions se sont produites. Cela vous permet de trouver facilement les zones à problèmesde la protection IPS sur les clients.

Gestion des règles IPS de clientL'affichage des règles IPS du client créées automatiquement en mode adaptatif ou crééesmanuellement sur un client, puis leur déplacement vers une stratégie Règles IPS ou Applicationapprouvée permettent un réglage aisé de la protection IPS.

REMARQUE : l'accès aux règles IPS de client dans l'onglet Host IPS sous Rapports nécessited'autres autorisations que celle relative à Host Intrusion Prevention (IPS), notamment desautorisations de consultation pour l'accès au journal des événements, aux systèmes et àl'arborescence des systèmes.

Configuration des stratégies IPSSurveillance des règles IPS de client


Tâche


1 Accédez à Rapports | Host IPS 8.0, puis cliquez sur Règles IPS de client.

2 Dans l'arborescence des systèmes, sélectionnez le groupe dont vous souhaitez afficher lesrègles de client.

3 Déterminez la manière dont vous souhaitez visualiser la liste d'exceptions client :




Filtrer par groupes

Sélectionnez les critères temporels ; saisissez un cheminde processus, un nom de processus, un nom

Filtrer par critères d'exception

d'utilisateur, un nom d'ordinateur ou un ID de signaturedans la zone de texte de recherche puis appuyez surEntrée. Cliquez sur Effacer pour supprimer lesparamètres du filtre.

Cliquez sur Agréger, sélectionnez les critères pourlesquels vous souhaitez agréger des exceptions, puis

Agréger des exceptions

cliquez sur OK. Cliquez sur Effacer pour supprimer lesparamètres d'agrégation.

4 Pour transférer des exceptions vers une stratégie, sélectionnez une ou plusieurs exceptionsdans la liste, cliquez sur Créer une exception, puis indiquez la stratégie vers laquelletransférer les exceptions.

Configuration des stratégies IPSSurveillance des règles IPS de client


Configuration des stratégies de pare-feuLes stratégies de pare-feu Host Intrusion Prevention activent et désactivent la protection etfournissent des règles permettant de bloquer les intrusions réseau pouvant compromettre lesdonnées, les applications ou le système d'exploitation.

Table des matières

Présentation des stratégies Pare-feu

Activer la protection par pare-feu

Définir la protection par pare-feu

Présentation des stratégies Pare-feuLa fonction Pare-feu de Host Intrusion Prevention assure la sécurité en filtrant le trafic provenantet sortant de systèmes en réseau exécutant Windows. Le filtrage et l'inspection des paquetsavec état identifient les paquets en fonction de différents types de connexions, et gardent enmémoire les attributs des connexions réseau du début à la fin de la transmission.

Un catalogue Host IPS simplifie la création de règles en vous permettant d'ajouter des règles,groupes, options réseau, applications, exécutables et emplacements existants à partir ducatalogue, vers de nouvelles règles ou de nouveaux groupes de pare-feu, ou vers des règlesou groupes existants. Il permet également l'ajout de ces éléments vers le catalogue, élémentpar élément, ou par lots.


Il existe trois stratégies de pare-feu :

Options de pare-feu : active la protection par pare-feu. Elle permet d'activer et de désactiverla protection par pare-feu, de définir des paramètres de pare-feu avec état et d'activer uneprotection par pare-feu spéciale, en autorisant par exemple le trafic sortant uniquement avantle démarrage du service de pare-feu, et en bloquant l'usurpation d'adresse IP et le traficmalveillant.

Règles de pare-feu : définit la protection par pare-feu. Elle comprend un jeu de règles quidéfinit le trafic autorisé et le trafic bloqué. Vous pouvez définir les règles largement (par exemple,tout le trafic IP) ou de manière plus étroite (par exemple, en identifiant une application ou unservice spécifique), à l'aide d'options réseau, de transport, d'applications et de planificationvariées. Vous pouvez regrouper les règles d'après une fonction de travail, un service ou uneapplication, pour une gestion simplifiée. A l'instar des règles, les groupes de règles peuventêtre définis grâce à des options réseau, de transport, d'applications, de planification etd'emplacement.

Blocage DNS du pare-feu : définit un ensemble de modèles de noms de domaine à bloquer,qui peuvent contenir des caractères génériques. Lorsqu'elle est mise en œuvre, cette stratégie


ajoute dynamiquement une règle placée vers le haut de la liste de règles de pare-feu quiempêche la résolution de l'adresse IP du domaine spécifié.

Fonctionnement des règles de pare-feuLes règles de pare-feu déterminent la gestion du trafic réseau. Chaque règle fournit un ensemblede conditions que le trafic doit satisfaire ainsi qu'une action pour autoriser ou bloquer le trafic.Si Host Intrusion Prevention détecte un trafic correspondant aux conditions d'une règle, ileffectue l'action associée.

Host Intrusion Prevention utilise un ordre de priorité pour appliquer les règles : la règle figuranten tête de la liste de règles de pare-feu prime. Si le trafic répond aux conditions de cette règle,Host Intrusion Prevention l'autorise ou le bloque. Il n'essaye pas d'appliquer d'autres règles dela liste. En revanche, si le trafic ne répond pas aux conditions de la première règle, Host IntrusionPrevention passe à la règle suivante dans la liste. Et ainsi de suite dans la liste de règles depare-feu, jusqu'à ce qu'il trouve une règle correspondant au trafic. S'il n'en trouve aucune, lepare-feu bloque automatiquement le trafic. Si le mode d'apprentissage est activé, l'utilisateurest invité à choisir l'action à appliquer. Si le mode adaptatif est activé, une règle Autoriser estcréée pour le trafic. Parfois, le trafic intercepté correspond à plusieurs règles de la liste. Dansce cas, la priorité implique que Host Intrusion Prevention applique uniquement la première règlecorrespondante de la liste.

Meilleures pratiques

Lorsque vous créez ou personnalisez une stratégie de règles de pare-feu, placez les règles lesplus spécifiques en tête de liste et les règles plus générales à la fin. Ainsi, Host IntrusionPrevention filtre correctement le trafic.

Par exemple, pour autoriser toutes les requêtes HTTP sauf celles provenant d'une adressespécifique (par exemple, l'adresse IP 10.10.10.1), vous devez créer deux règles :

• Règle Bloquer : bloquer le trafic HTTP de l'adresse IP 10.10.10.1. Cette règle est plusspécifique.

• Règle Autoriser : autoriser la totalité du trafic qui utilise le service HTTP. Cette règle estplus générale.

Dans la liste de règles de pare-feu, vous devez placer la règle Bloquer, plus spécifique, avantla règle Autoriser, plus générale. Ainsi, lorsque le pare-feu intercepte la requête HTTP provenantde l'adresse 10.10.10.1, la première règle applicable est celle qui bloque le passage de ce traficpar le pare-feu.

Si vous aviez placé la règle Autoriser, plus générale, plus haut dans la liste que la règle Bloquer,plus spécifique, Host Intrusion Prevention aurait associé toutes les requêtes HTTP à la règleAutoriser avant de trouver la règle Bloquer. Le trafic aurait donc été autorisé, même si vousvouliez bloquer la requête HTTP d'une adresse spécifique.

Protocoles de pare-feuLa protection par pare-feu couvre plusieurs couches de l'architecture réseau en recourant àdivers critères pour limiter le trafic réseau. Cette architecture réseau est conçue sur la suiteTCP/IP (Transmission Control Protocol/Internet Protocol).

Couche de liaison

Le protocole de couche de liaison décrit la méthode MAC (Media Access Control), ainsi que desfonctions de détection d'erreurs mineures.

Configuration des stratégies de pare-feuPrésentation des stratégies Pare-feu


Les technologies LAN Ethernet (802.3), Wi-Fi sans fil (802.11x), et LAN virtuel (VPN) se trouventdans cette couche. Les règles et groupes de pare-feu font la distinction entre les liaisons filaires,sans fil et virtuelles.

Couche réseau

Les protocoles de couche réseau définissent les modèles d'adressage de l'ensemble du réseau,le routage et les modèles de contrôle du réseau.

Il prend également en charge les protocoles non IP arbitraires mais ne peut détecter aucunparamètre de couche réseau ou transport leur correspondant. Au mieux, cela permet àl'administrateur de bloquer ou autoriser ces protocoles de couche réseau. Les numéros associésaux protocoles non IP se basent sur les numéros Ethernet définis par l'IANA (Internet AssignedNumbers Authority) et publiés à l'adresse http://www.iana.org/assignments/ethernet-numbers.

Le pare-feu Host IPS offre la prise en charge totale des protocoles IPv4 et IPv6 sous Windows XP,Windows Vista, Windows Server 2008 et Windows 7.

Couches transport

Le protocole IP peut être utilisé comme protocole réseau pour un certain nombre de protocolesde transport différents. En pratique, quatre protocoles sont couramment utilisés : TCP, UDP(User Datagram Protocol), ICMPv4 et ICMPv6 (Internet Control Message Protocol version 4 etversion 6).

TCP

Le protocole TCP est un protocole de transport fiable orienté connexion. Il permet de garantirque les données contenues dans les paquets réseau sont remises de manière fiable et classée.Il contrôle également le taux de réception et de transmission des données. Cela suppose uncertain temps d'exécution, ce qui rend le minutage des opérations TCP imprévisible lorsque lesconditions réseau ne sont pas optimales.

TCP constitue la couche transport de la grande majorité des protocoles d'application. HTTP,FTP, SMTP, RDP, SSH, POP et IMAP utilisent tous TCP.

TCP multiplexe les données entre les protocoles de la couche d'application via le concept de« ports ». Chaque paquet TCP contient un numéro de port source et de destination, de 0 à65535. En règle générale, le côté serveur d'une connexion TCP écoute les connexions sur unport fixe.

Les ports 0 à 1023 sont réservés en tant que « ports connus ». Les numéros de cette plagesont généralement affectés à des protocoles par l'IANA(www.iana.org/assignments/protocol-numbers) et la plupart des systèmes d'exploitation exigentdes autorisations spéciales au niveau des processus pour écouter l'un de ces ports.

Les règles de pare-feu sont habituellement conçues pour bloquer certains ports et en autoriserd'autres, limitant ainsi les activités pouvant survenir sur le réseau.

UDP

Le protocole UDP est un protocole de transport « au mieux », en mode non connecté. Il nefournit aucune garantie en termes de fiabilité ou de classement des paquets et n'utilise pas defonctions de contrôle de flux. En pratique, il présente quelques propriétés appréciables pourcertaines classes de trafic.

UDP est souvent utilisé comme protocole de transport pour les applications critiques pour lesperformances (qui peuvent appliquer certaines des fonctions de classement des paquets et defiabilité TCP dans le protocole d'application) et pour les applications multimédias en temps réel,où la suppression d'un paquet entraîne simplement un problème temporaire dans le flux dedonnées, ce qui est plus acceptable qu'un flux devant s'interrompre pour attendre une nouvelle



http://www.iana.org/assignments/ethernet-numbers

http://www.iana.org/assignments/protocol-numbers

transmission. Les logiciels de vidéoconférence et de téléphonie IP utilisent souvent le protocoleUDP, à l'instar de certains jeux vidéo multijoueurs.

Le modèle de multiplexage UDP est identique à celui du protocole TCP : chaque datagrammepossède un port source et de destination, de 0 à 65535.

ICMP

Le protocole ICMP est utilisé en tant que canal de communication hors bande entre des hôtesIP. Ce protocole est utilisé lors des dépannages et est nécessaire au fonctionnement correctd'un réseau IP, puisque c'est lui qui génère les rapports d'erreur.

IPv4 et IPv6 contiennent des variantes distinctes et non reliées entre elles du protocole ICMP.ICMPv4 est souvent simplement appelé ICMP.

ICMPv6 est primordial dans un réseau IPv6, car il est utilisé dans le cadre de plusieurs tâchescritiques, telles que la découverte de voisins (gérée par le protocole ARP dans un réseau IPv4).Il est fortement déconseillé aux utilisateurs de bloquer le trafic ICMPv6 si l'IPv6 est pris encharge sur leur réseau.

Plutôt que des numéros de port, les deux versions du protocole ICMP définissent une poignéede « types de messages ». Les demandes avec écho et réponses avec écho sont utilisées pourle ping. Les messages « Destination inaccessible » indiquent des échecs de routage. ICMP metégalement en œuvre une fonction Traceroute, même si les protocoles UDP et TCP peuvent êtreutilisés à cette fin.

Autres protocoles de transport

IP prend en charge plus d'une centaine d'autres protocoles de transport, mais la plupart d'entreeux sont rarement utilisés. Néanmoins, la liste complète des protocoles reconnus par l'IANA estprise en charge de façon minimale. Des règles peuvent être créées pour bloquer ou autoriserle trafic sur tous les protocoles de transport IP, même si le pare-feu ne prend pas en chargeles mécanismes de multiplexage parfois utilisés par ces protocoles.

Plusieurs d'entre eux sont utilisés pour se superposer à d'autres types de réseaux sur un réseauIP (tunnellisation réseau). Certains (notamment GRE, AH et ESP) sont utilisés pour le chiffrementIP et les VPN.

Les numéros de protocoles IP sont répertoriés à l'adressewww.iana.org/assignments/protocol-numbers.

Protocoles communs non pris en charge

Plusieurs protocoles réseau ne sont pas pris en charge par le pare-feu Host IPS. Le traficprovenant de ces protocoles, généralement dotés d'un EtherType non analysable, est soittoujours bloqué, soit toujours autorisé, en fonction de la sélection ou non de l'option « Autoriserle trafic associé à des protocoles non pris en charge » de la stratégie Options de pare-feu.

Fonctionnement des groupes de règles de pare-feuRegroupez les règles de pare-feu pour simplifier la gestion. Les groupes de règles n'affectenten rien la manière dont Host Intrusion Prevention gère les règles au sein des groupes ; ellessont toujours traitées du haut vers le bas.

Les groupes sont associés à de nombreux éléments associés aux règles, notamment les optionsréseau, les options de transport, les applications et les planifications. De plus, les groupespossèdent des paramètres d'emplacement, qui vous permettent de créer des groupes selonl'emplacement ainsi qu'un isolement de connexion. Les paramètres du groupe sont traités avant



http://www.iana.org/assignments/protocol-numbers

les paramètres des règles qu'il contient. En cas de conflit entre ces paramètres, ceux du groupeont priorité.

REMARQUE : si l'isolement de connexion est activé dans l'onglet Emplacement, un groupe nepeut pas être associé à des options et applications de transport.

Création de groupes selon l'emplacement

Host Intrusion Prevention vous permet de créer un groupe et les règles qu'il contient selonl'emplacement. Les onglets Emplacement et Options réseau du groupe vous permettent decréer des groupes selon les cartes réseau, afin que les ordinateurs avec plusieurs interfacesréseau puissent appliquer des règles spécifiques aux adaptateurs. Après avoir activé le statutde l'emplacement et attribué un nom à l'emplacement, les paramètres des connexions autoriséespeuvent inclure, pour chaque carte réseau, un ou tous les éléments suivants :

Dans l'onglet Emplacement :

• Suffixe DNS propre à la connexion

• Adresse IP de la passerelle

• IP DHCP

• Serveur DNS recevant les requêtes pour résoudre les URL

• Serveur WINS utilisé

• Clé de Registre

Dans l'onglet Options réseau :

• Adresse IP locale

• Type de support

Si deux groupes selon l'emplacement s'appliquent à une même connexion, Host IntrusionPrevention utilise la priorité normale et traite le premier groupe applicable dans sa liste derègles. Si aucune règle ne correspond dans le premier groupe, le traitement de règles continueà la recherche d'une correspondance dans le groupe suivant.

Si Host Intrusion Prevention trouve une connexion active correspondant aux paramètres d'ungroupe selon l'emplacement, il applique les règles du groupe. Il traite les règles comme un petitensemble de règles et utilise la priorité normale. Si certaines règles ne correspondent pas autrafic intercepté, le pare-feu les ignore.

Remarque :

• Si l'option Statut de l'emplacement est sélectionnée, un nom d'emplacement est requis.

• Si l'option Réseau local est sélectionnée, l'adresse IP de l'adaptateur doit correspondre àl'une des entrées de la liste.

• Si l'option Suffixe DNS est sélectionnée, le suffixe DNS de l'adaptateur doit correspondreà l'une des entrées de la liste.

• Si l'option Passerelle par défaut est sélectionnée, l'IP passerelle de l'adaptateur par défautdoit correspondre à l'une des entrées de la liste au moins.

• Si l'option Serveur DHCP est sélectionnée, l'IP du serveur DHCP de l'adaptateur doitcorrespondre à l'une des entrées de la liste au moins.

• Si l'option Liste de serveurs DNS est sélectionnée, l'adresse IP du serveur DNS del'adaptateur doit correspondre à n'importe quelle entrée de la liste.

• Si l'option ServeurWINS principal est sélectionnée, l'adresse IP du serveur WINS principalde l'adaptateur doit correspondre à l'une des entrées de la liste au moins.



• Si l'option Serveur WINS secondaire est sélectionnée, l'adresse IP du serveur WINSsecondaire de l'adaptateur doit correspondre à l'une des entrées de la liste au moins.

Isolement de connexion des groupes de règles de pare-feuUne option d'isolement de connexion peut être appliquée aux groupes pour bloquer l'accès d'untrafic indésirable à un réseau spécifié. Cette option peut être appliquée via d'autres interfacesréseau actives sur un ordinateur, comme un adaptateur sans fil se connectant à un point d'accèssans fil Wi-Fi tandis qu'un adaptateur filaire est connecté à un LAN.

Lorsque l'option Isoler cette connexion est sélectionnée dans les paramètres d'emplacementd'un groupe, et qu'une carte d'interface réseau active correspond aux critères du groupe, lesseuls types de trafic traités sont le trafic correspondant aux règles Autoriser au-dessus du groupedans la liste de règles de pare-feu, et le trafic correspondant aux critères du groupe. Tout autretrafic est bloqué.

REMARQUE : tout groupe dont l'isolement de connexion est activé ne peut pas être associé àdes options ou applications de transport.

Figure 2 : Isolement de connexion réseau



Pour illustrer l'utilisation de l'option d'isolement de connexion, prenons pour exemples les deuxenvironnements suivants : une entreprise et un hôtel. La liste des règles du pare-feu actifcontient des règles et des groupes dans l'ordre suivant :

1 règles se rapportant à la connexion de base ;

2 règles de connexion VPN ;

3 groupe avec règles de connexion LAN pour l'entreprise ;

4 groupe avec règles de connexion VPN.

Isolement de la connexion sur le réseau de l'entreprise

Les règles de connexion sont traitées jusqu'à ce que le groupe contenant des règles de connexionLAN pour l'entreprise soit détecté. Ce groupe présente les paramètres suivants :

• Type de support = filaire

• Suffixe DNS propre à la connexion = mycompany.com

• Adresse de passerelle par défaut

• Isoler cette connexion = oui

L'ordinateur est équipé à la fois de cartes réseau LAN et sans fil et il se connecte au réseau del'entreprise via une connexion filaire, mais l'interface sans fil reste active ; il se connecte doncà un point d'accès sans fil se trouvant en dehors du bureau. L'ordinateur se connecte aux deuxréseaux car les règles concernant l'accès de base figurent en tête de la liste des règles depare-feu. La connexion LAN filaire est active et remplit les critères du groupe LAN de l'entreprise.Le pare-feu traite le trafic passant par le LAN, mais du fait de l'activation de l'isolement deconnexion, tous les autres trafics ne passant pas par le LAN sont bloqués.

Isolement de connexion à l'hôtel

Les règles de connexion sont traitées jusqu'à ce que le groupe contenant des règles de connexionVPN soit détecté. Ce groupe présente les paramètres suivants :

• Type de connexion = virtuelle

• Suffixe DNS = vpn.mycompany.com

• Adresse IP = adresse dans une plage spécifique au concentrateur VPN

• Isoler cette connexion = oui

Les règles de connexion générales autorisent la configuration d'un compte temporaire à l'hôtelpour avoir accès à Internet. Les règles de connexion VPN autorisent la connexion au tunnelVPN et son utilisation. Une fois le tunnel établi, le client VPN crée un adaptateur virtuelcorrespondant aux critères du groupe VPN. Le trafic dans le tunnel VPN et le trafic de base surl'adaptateur réel sont les seuls autorisés par le pare-feu. Si d'autres clients de l'hôtel tententd'accéder à l'ordinateur via le réseau, avec une connexion filaire ou sans fil, ils sont bloqués.

Fonctionnement du catalogue Host IPSLe catalogue Host IPS simplifie la création de règles et de groupes de pare-feu en vouspermettant de référencer les règles, groupes, adresses réseau, applications, exécutables etdonnées d'emplacement de groupe existants. En outre, vous pouvez référencer les fichiersexécutables des applications impliquées dans la protection IPS.

Lors du référencement d'un élément de catalogue, vous créez un lien de dépendance entre cetélément et une règle ou un groupe de pare-feu. Par conséquent, lorsqu'une modification estapportée à l'élément du catalogue, ce dernier est modifié partout où il est utilisé. Vous pouvez



également briser un lien entre l'élément du catalogue et une règle ou un groupe, pour supprimerla dépendance.

Le catalogue Host IPS, se trouvant dans ePolicy Orchestrator sous Systèmes, contient six pagesrépertoriant les éléments de règles et de groupes de pare-feu placés précédemment. Leséléments peuvent être créés individuellement dans le catalogue, ajoutés en les liant à ceuxcréés dans les nouveaux groupes de pare-feu et groupes de règles, ou importés à partir d'exportsXML de stratégies Règles de pare-feu.

Les pages du catalogue comprennent :

• Groupe : liste de groupes de pare-feu et leurs propriétés

• Règle : liste de règles de pare-feu et leurs propriétés

• Application : liste d'applications pouvant être référencées dans un groupe ou une règle depare-feu

• Fichier exécutable : liste des exécutables attachés aux applications pouvant être référencésdans un groupe ou une règle de pare-feu ou dans des applications liées à IPS

• Réseau : liste d'adresses IP pouvant être référencées dans un groupe ou une règle depare-feu

• Emplacement : liste d'informations spécifique aux emplacements des groupes de pare-feu

Tableau 6 : Catalogue Host IPS : source d'élémentsDépendanceElément du

catalogueElément de stratégieStratégieFonction

OuiRègleRègle de pare-feuRègles de pare-feuPare-feu

OuiGroupeGroupe de pare-feuRègles de pare-feuPare-feu

OuiEmplacementEmplacement de groupe depare-feu

Règles de pare-feuPare-feu

OuiRéseauRègle/groupe de pare-feuRègles de pare-feuPare-feu

OuiApplicationRègle/groupe de pare-feuRègles de pare-feuPare-feu

OuiFichier exécutableApplication de règle/groupe depare-feu

Règles de pare-feuPare-feu

NonFichier exécutableRègle de protection desapplications

Règles IPSIPS

NonFichier exécutableApplication approuvéeApplicationsapprouvées

Général

Filtres de catalogue

Chaque page du catalogue contient un filtre permettant de rechercher des éléments de la listedans la page. Cliquez sur Afficher/masquer les options de filtre pour masquer ou afficherle filtre, cliquez sur Définir un filtre pour filtrer les éléments avec les critères entrés, cliquezsur Effacer pour réinitialiser le filtre.

Copie à partir du catalogue

Lors de l'utilisation du Générateur de règles de pare-feu ou du Générateur de groupes depare-feu, cliquez sur le bouton Ajouter depuis le catalogue pour ajouter l'élément appropriéà partir du catalogue. Cela permet de créer un lien de dépendance entre les éléments, qui peutêtre brisé à tout moment.



Ajout au catalogue

Il existe trois méthodes d'ajout d'éléments au catalogue :

• Cliquez sur Nouveau dans la page du catalogue, saisissez les informations requises puisenregistrez l'élément.

• Cliquez sur Ajouter au catalogue en regard de l'élément lors de la création ou de lamodification de règles ou de groupes via le Générateur de règles de pare-feu ou le Générateurde groupes de pare-feu.

• Cliquez sur Importer pour ajouter des données du catalogue Host IPS précédemmentexportées au format .xml.

REMARQUE : les exports du catalogue de stratégies au format .xml ne sont pas compatiblesavec le format .xml du catalogue Host IPS. Par conséquent, vous ne pouvez pas exporterde stratégie Règles de pare-feu à partir du catalogue de stratégies et l'importer dans lecatalogue Host IPS pour approvisionner ce dernier en données de règles de pare-feu à partirde la stratégie en question. Pour importer des données de stratégie de pare-feu dans lecatalogue Host IPS, utilisez les liens Ajouter au catalogue.

Filtrage et inspection des paquets du pare-feu avec étatLe pare-feu de Host Intrusion Prevention offre des fonctions de filtrage et d'inspection despaquets avec état.

Le filtrage des paquets avec état est le suivi avec état des informations de protocoleTCP/UDP/ICMP sur la couche de transport 4 et inférieures de la pile réseau OSI. Chaque paquetest examiné et, s'il correspond à une règle de pare-feu Autoriser existante, il est autorisé etune entrée est créée dans une table d'état. La table d'état suit de façon dynamique lesconnexions correspondant précédemment à un jeu de règles statique et reflète l'état actuel deconnexion des protocoles TCP/UDP/ICMP. Si un paquet inspecté correspond à une entréeexistante de la table d'état, il est autorisé sans autres vérifications. Lorsqu'une connexion estfermée ou arrive à expiration, son entrée est supprimée de la table d'état.

L'inspection des paquets avec état est le processus des commandes de filtrage et de suivi despaquets avec état sur la couche Application 7 de la pile réseau. Cette combinaison propose unedéfinition efficace de l'état de connexion de l'ordinateur. L'accès aux commandes au niveauapplication permet une inspection et une sécurisation sans erreur du protocole FTP.

Table d'état du pare-feuUn pare-feu avec état inclut une table d'état qui stocke de façon dynamique les informationssur les connexions actives créées par des règles d'autorisation.

Chaque entrée de la table définit une connexion basée sur les éléments suivants :

• Protocole : méthode prédéfinie de communication d'un service avec un autre ; inclut lesprotocoles TCP, UDP et ICMP.

• Adresses IP d'ordinateur local et distant : une adresse IP unique est attribuée à chaqueordinateur. IPv4, la norme actuelle pour les adresses IP, accepte les adresses de 32 bits,alors qu'IPv6, une norme plus récente, accepte les adresses de 128 bits. IPv6 est déjà prisen charge par certains systèmes d'exploitation, tels que Windows Vista et plusieursdistributions Linux. Host Intrusion Prevention prend les deux normes en charge.

• Numéros de port d'ordinateur local et distant : un ordinateur envoie et reçoit desservices par le biais de ports numérotés. Par exemple, le service HTTP est généralement



disponible sur le port 80 et les services FTP sur le port 21. Les numéros de port vont de 0à 65535.

• ID de processus (PID) : identificateur unique pour le processus associé au trafic d'uneconnexion.

• Horodatage : heure du dernier paquet entrant ou sortant associé à la connexion.

• Délai d'expiration : limite de temps (en secondes), définie avec la stratégie Options depare-feu, après laquelle l'entrée est supprimée de la table si aucun paquet correspondant àla connexion n'est reçu. Le délai d'expiration pour les connexions TCP est appliqué uniquementlorsque la connexion n'est pas établie.

• Direction : direction du trafic (entrant ou sortant) ayant déclenché l'entrée. Lorsqu'uneconnexion est établie, le trafic bidirectionnel est autorisé, même avec des règlesunidirectionnelles, à condition que l'entrée corresponde aux paramètres de la connexiondans la table d'état.

Remarque à propos de la table d'état :

• Si les jeux de règles de pare-feu changent, toutes les connexions actives sont comparéesau nouveau jeu de règles. En l'absence de règle correspondante, l'entrée de la connexionest supprimée de la table d'état.

• Si un adaptateur obtient une nouvelle adresse IP, le pare-feu reconnaît la nouvelleconfiguration IP et supprime toutes les entrées de la table d'état avec une adresse IP localenon valide.

• Lorsque le processus prend fin, toutes les entrées de la table d'état associées à un processussont supprimées.

Fonctionnement du filtrage avec étatLe filtrage avec état implique le traitement d'un paquet par deux jeux de règles, un jeu derègles de pare-feu configurables et un jeu de règles de pare-feu dynamiques, ou table d'état.

Les règles configurables peuvent agir de deux manières :

• Autoriser : le paquet est autorisé et une entrée est créée dans la table d'état.

• Bloquer : le paquet est bloqué et aucune entrée n'est créée dans la table d'état.

Les entrées de la table d'état résultent de l'activité du réseau et reflètent l'état de la pile réseau.Chaque règle de la table d'état dispose d'une seule action, Autoriser, de sorte que tout paquetcorrespondant à une règle dans la table d'état est automatiquement autorisé.

Le processus de filtrage comprend les éléments suivants :

1 Le pare-feu compare un paquet entrant avec les entrées de la table d'état. Si le paquetcorrespond à une entrée de la table, il est immédiatement autorisé. Si ce n'est pas le cas,la liste des règles de pare-feu configurables est examinée.

REMARQUE : une entrée de la table d'état est considérée comme correspondante si leprotocole, l'adresse locale, le port local, l'adresse distante et le port distant correspondentà ceux du paquet.

2 Si le paquet correspond à une règle Autoriser, il est autorisé et une entrée est créée dansla table d'état.

3 Si le paquet correspond à une règle Bloquer, il est bloqué.



4 Si le paquet ne correspond à aucune règle configurable, il est bloqué.

Figure 3 : Processus de filtrage avec état

Fonctionnement de l'inspection des paquets avec étatL'inspection des paquets avec état associe le filtrage avec état et l'accès aux commandes auniveau application, ce qui sécurise des protocoles comme FTP.

Le protocole FTP implique deux connexions : contrôle pour les commandes et données pourles informations. Lorsqu'un client se connecte à un serveur FTP, le canal de contrôle est établien arrivant sur le port de destination FTP 21 et une entrée est créée dans la table d'état. Sil'option d'inspection FTP a été définie avec la stratégie Options de pare-feu, lorsque le pare-feutrouve une connexion ouverte sur le port 21, il est capable d'effectuer une inspection des paquetsavec état sur les paquets entrant via le canal de contrôle FTP.

Si le canal de contrôle est ouvert, le client communique avec le serveur FTP. Le pare-feu analysela commande PORT dans le paquet et crée une deuxième entrée dans la table d'état pourautoriser la connexion de données.

Lorsque le serveur FTP est en mode actif, il ouvre la connexion de données ; en mode passif,le client initie la connexion. Lorsque le serveur FTP reçoit la première commande de transfertde données (LIST), il ouvre la connexion de données vers le client et transfère les données. Lecanal de données est fermé une fois la transmission achevée.

La combinaison de la connexion de contrôle et d'une ou de plusieurs connexions de donnéesest appelée session et les règles dynamiques FTP sont parfois qualifiées de règles de session.La session reste établie jusqu'à ce que l'entrée de son canal de contrôle soit supprimée de la



table d'état. Lors du nettoyage périodique de la table, si le canal de contrôle d'une session aété supprimé, toutes les connexions de données sont supprimées à leur tour.

Suivi de protocole avec étatLes types de connexions de protocoles surveillés par le pare-feu avec état et leur gestion sontrésumés ici.

Description de la gestionProtocole

Une connexion UDP est ajoutée à la table d'état lorsqu'une règle statique correspondante est trouvéeet que l'action de la règle est Autoriser. Les connexions UDP génériques, qui acheminent les

UDP

protocoles au niveau application inconnus du pare-feu, restent dans la table d'état tant que laconnexion n'est pas inactive plus longtemps que le délai d'expiration spécifié.

Seuls les types de messages Demande d'écho ICMP et Réponse d'écho ICMP sont suivis.

REMARQUE : à la différence du protocole TCP orienté connexion et fiable, les protocoles UDP etICMPv4/v6 sont des protocoles moins fiables, en mode non connecté. Pour sécuriser ces protocoles,

ICMPv4/v6

le pare-feu considère les connexions UDP et ICMP génériques comme des connexions virtuelles,maintenues tant que la connexion n'est pas inactive plus longtemps que le délai d'expiration spécifiépour la connexion. Le délai d'expiration pour les connexions virtuelles est défini dans la stratégieOptions de pare-feu.

Lorsque vous utilisez IPv6, la fonctionnalité de pare-feu avec état est prise en charge uniquementsous Windows Vista et les plates-formes ultérieures.

Le protocole TCP fonctionne sur le protocole de transfert en trois temps. Lorsqu'un ordinateur clientinitie une nouvelle connexion, il envoie un paquet à sa cible avec un bit SYN défini, indiquant une

TCP

nouvelle connexion. La cible répond en envoyant un paquet au client avec un ensemble de bitsSYN-ACK. Puis, le client répond en envoyant un paquet avec un ensemble de bits ACK et la connexionavec état est établie. Tous les paquets sortants sont autorisés, mais seuls les paquets entrantsfaisant partie de la connexion établie sont autorisés. Une exception se produit lorsque le pare-feuenvoie d'abord une requête au protocole TCP et qu'il ajoute toutes les connexions préexistantes quicorrespondent aux règles statiques. Les connexions préexistantes dépourvues de règle statiquecorrespondante sont bloquées. Le délai d'expiration de la connexion TCP, défini dans la stratégieOptions de pare-feu, est appliqué uniquement lorsque la connexion n'est pas établie. Un deuxièmedélai d'expiration TCP ou un délai d'expiration TCP forcé s'applique aux connexions TCP établiesuniquement. Ce délai d'expiration est contrôlé par un paramètre du Registre et a une valeur pardéfaut d'une heure. Toutes les quatre minutes, le pare-feu envoie une requête à la pile TCP etignore les connexions non signalées par le protocole TCP.

La correspondance entre la requête et la réponse garantit que les réponses DNS sont autoriséesuniquement sur le port local à l'origine de la requête et uniquement depuis une adresse IP distante

DNS

ayant reçu une requête dans l'intervalle du délai de connexion virtuelle UDP. Les réponses DNSentrantes sont autorisées si :

• la connexion dans la table d'état n'a pas expiré ;

• la réponse provient de la même adresse IP distante et du même port que ceux d'où provientla requête.

La correspondance entre la requête et la réponse garantit que les paquets de retour sont autorisésuniquement pour les requêtes légitimes. Ainsi, les réponses DHCP entrantes sont autorisées si :

DHCP

• la connexion dans la table d'état n'a pas expiré ;

• l'ID de transaction de la réponse correspond à celui de la requête.

FTP • Le pare-feu effectue une inspection des paquets avec état sur les connexions TCP ouvertes surle port 21. L'inspection a lieu uniquement sur le canal de contrôle, soit la première connexionouverte sur ce port.

• L'inspection FTP est effectuée uniquement sur les paquets acheminant de nouvelles informations.Les paquets retransmis sont ignorés.

• Les règles dynamiques sont créées en fonction de la direction (client/serveur) et du mode(actif/passif) :



Description de la gestionProtocole

• Mode actif FTP client : le pare-feu crée une règle entrante dynamique après avoir analyséla commande PORT entrante, sous réserve de conformité de la commande PORT au RFC959. La règle est supprimée lorsque le serveur initie la connexion de données ou lorsquela règle expire.

• Mode actif FTP serveur : le pare-feu crée une règle sortante dynamique après avoir analyséla commande PORT entrante.

• Mode passif FTP client : le pare-feu crée une règle sortante dynamique lorsqu'il lit la réponsede la commande PASV envoyée par le serveur FTP, à condition qu'il ait précédemment vula commande PASV du client FTP et que la commande PASV soit conforme au RFC 959. Larègle est supprimée lorsque le client initie la connexion de données ou lorsque la règleexpire.

• Mode passif FTP serveur : le pare-feu crée une règle entrante dynamique.

Incidence desmodes d'apprentissage et adaptatif sur le pare-feuLorsque vous activez le pare-feu, Host Intrusion Prevention surveille en permanence le traficréseau envoyé et reçu par un ordinateur. Il autorise ou bloque le trafic, conformément à lastratégie Règles de pare-feu. Si le trafic ne satisfait à aucune règle existante, il estautomatiquement bloqué, à moins que le pare-feu ne fonctionne en mode d'apprentissage ouen mode adaptatif.

En mode d'apprentissage, Host Intrusion Prevention affiche une alerte du mode d'apprentissageà chaque interception de trafic réseau inconnu. Cette alerte invite l'utilisateur à autoriser ou àbloquer tout trafic ne correspondant à aucune règle existante et crée automatiquement desrègles dynamiques pour ce type de trafic. Vous pouvez activer le mode d'apprentissage pourles communications entrantes uniquement, pour les communications sortantes uniquement, oules deux.

En mode adaptatif, Host Intrusion Prevention crée automatiquement une règle d'autorisationpour autoriser la totalité du trafic qui ne correspond à aucune règle Bloquer existante et créeautomatiquement des règles Autoriser dynamiques pour ce type de trafic. Pour en savoir plussur l'utilisation du mode adaptatif avec le pare-feu, consultez la section FAQ : Mode adaptatifsous Gestion de votre protection.

Par mesure de sécurité, lorsque le mode d'apprentissage ou le mode adaptatif est activé, lespings entrants sont bloqués, à moins qu'une règle Autoriser explicite n'ait été créée pour letrafic ICMP entrant. De plus, le trafic entrant vers un port qui n'est pas ouvert sur l'hôte estbloqué, à moins qu'une règle Autoriser n'ait été explicitement créée pour le trafic. Par exemple,si l'hôte n'a pas démarré le service Telnet, le trafic TCP entrant sur le port 23 (Telnet) est bloqué,même si aucune règle explicite ne le bloque. Vous pouvez créer une règle Autoriser explicitepour n'importe quel trafic.

Host Intrusion Prevention affiche toutes les règles créées sur les clients à partir du moded'apprentissage ou du mode adaptatif et permet à ces règles d'être enregistrées et migréesvers les règles d'administration.

Filtrage avec état

Lorsque le mode adaptatif ou d'apprentissage est appliqué avec le pare-feu avec état, leprocessus de filtrage crée une nouvelle règle pour gérer le paquet entrant. Le processus defiltrage est le suivant :

1 Le pare-feu compare un paquet entrant avec les entrées de la table d'état et ne trouveaucune correspondance, puis il examine la liste des règles statiques et ne trouve aucunecorrespondance.



2 Aucune entrée n'est créée dans la table d'état, mais s'il s'agit d'un paquet TCP, il est placédans une liste d'attente. Si ce n'est pas le cas, le paquet est rejeté.

3 Si de nouvelles règles sont autorisées, une règle Autoriser statique unidirectionnelle estcréée. S'il s'agit d'un paquet TCP, une entrée est créée dans la table d'état.

4 Si de nouvelles règles ne sont pas autorisées, le paquet est rejeté.

Règles de pare-feu pour le clientUn client en mode d'apprentissage ou adaptatif crée les règles de pare-feu du client pourautoriser les activités bloquées. Les règles peuvent également être créées manuellement surl'ordinateur client. Vous pouvez suivre les règles de client et les afficher dans une vue filtréeou agrégée. Utilisez ces règles de client pour créer de nouvelles stratégies ou ajoutez-les à desstratégies existantes.

Filtrage et agrégation des règles

L'application de filtres génère une liste de règles qui satisfont la totalité des variables définiesdans les critères de filtrage. Il en résulte une liste de règles incluant tous les critères. L'agrégationdes règles génère une liste de règles regroupées selon la valeur associée à chacune des variablessélectionnées dans la boîte de dialogue Sélectionner les colonnes à agréger. Il en résulteune liste de règles affichées en groupes et triées selon la valeur associée aux variablessélectionnées.

Activer la protection par pare-feuLa stratégie Options de pare-feu active la protection par pare-feu et fournit les paramètresTrustedSource™ et les paramètres de pare-feu avec état.

Paramètres généraux

Les options générales disponibles sont les suivantes :

• Activé : sélectionnez cette option pour activer le pare-feu, puis optez pour un type deprotection :

• Standard (par défaut) : utilisez ce paramètre si vous n'êtes pas en cours de réglaged'un déploiement.

• Mode adaptatif : sélectionnez cette option pour créer automatiquement des règlesd'autorisation de trafic. Utilisez ce mode temporairement lors du réglage d'un déploiement.

• Mode d'apprentissage : sélectionnez cette option pour créer des règles d'autorisationde trafic à partir d'une entrée d'utilisateur. Sélectionnez également cette option pourautoriser le trafic entrant et/ou sortant. Utilisez ce mode temporairement lors du réglaged'un déploiement.

• Autoriser le trafic associé à des protocoles non pris en charge : sélectionnez cetteoption pour autoriser tous les trafics utilisant des protocoles non pris en charge. Lorsquecette option est désactivée, tous les trafics utilisant des protocoles non pris en charge sontbloqués.

• Autoriser le trafic relié par un pont : sélectionnez cette option pour autoriser le traficavec une adresse MAC locale qui n'est pas l'adresse MAC du système local, mais l'une desadresses MAC de la liste de machines virtuelles prises en charge par le pare-feu. Utilisez

Configuration des stratégies de pare-feuActiver la protection par pare-feu


cette option pour autoriser le trafic via un environnement relié par un pont avec des machinesvirtuelles.

• Conserver les règles de client existantes lorsque cette stratégie est mise enœuvre : sélectionnez cette option pour conserver les règles créées sur le client,automatiquement en mode adaptatif, suite à l'intervention de l'utilisateur en moded'apprentissage ou manuellement sur un client, lors de la mise en œuvre de cette stratégie.

Paramètres de protection

Ces paramètres activent une protection par pare-feu spéciale :

• Autoriser uniquement le trafic sortant avant le démarrage du service Host IPS :sélectionnez cette option pour autoriser le trafic sortant, mais bloquer le trafic entrantjusqu'au démarrage du service de pare-feu Host IPS sur le client.

• Activer la protection contre l'usurpation d'adresse IP : sélectionnez cette option pourbloquer le trafic réseau provenant d'adresses IP hôtes non locales ou de processus locauxtentant d'usurper leurs adresses IP.

• Envoi d'événements de violation TrustedSource vers ePO : sélectionnez cette optionpour envoyer des événements vers le serveur ePO si le paramètre de seuil de blocageTrustedSource des trafics entrants et sortants correspond.

• Seuil de blocage TrustedSource entrant : sélectionnez dans la liste l'évaluationTrustedSource au niveau de laquelle bloquer le trafic entrant d'une connexion réseau. Optionspossibles : Risque élevé, Risque moyen, Non vérifié et Ne pas bloquer.

• Seuil de blocage TrustedSource sortant : sélectionnez dans la liste l'évaluationTrustedSource au niveau de laquelle bloquer le trafic sortant vers une connexion réseau.Options possibles : Risque élevé, Risque moyen, Non vérifié et Ne pas bloquer.

Paramètres de pare-feu avec état

Les paramètres de pare-feu avec état suivants sont disponibles :

• Inspection du protocole FTP : paramètre de pare-feu avec état, qui autorise le suivi desconnexions FTP afin qu'elles ne nécessitent qu'une seule règle de pare-feu pour le traficsortant du client FTP et une règle pour le trafic entrant du serveur FTP. Si cette option n'estpas sélectionnée, les connexions FTP ont besoin d'une règle supplémentaire pour le traficentrant du client FTP et le trafic sortant du serveur FTP. Cette option doit toujours êtresélectionnée.

• Délai de connexion TCP : durée, en secondes, pendant laquelle une connexion TCP nonétablie reste active si aucun autre paquet correspondant à la connexion n'est envoyé oureçu.

• Délai de connexion d'écho virtuel UDP et ICMP : durée, en secondes, pendant laquelleune connexion virtuelle d'écho UDP ou ICMP reste active si aucun autre paquet correspondantà la connexion n'est envoyé ou reçu. Elle est réinitialisée à sa valeur configurée chaque foisqu'un paquet correspondant à la connexion virtuelle est envoyé ou reçu.


Cette catégorie de stratégies contient une stratégie préconfigurée ainsi qu'une stratégie Mastratégie par défaut modifiable, basée sur la stratégie McAfee par défaut. Vous pouvez consulteret dupliquer les stratégies préconfigurées ainsi que créer, modifier, renommer, dupliquer,supprimer et exporter les stratégies personnalisées.

La stratégie préconfigurée présente les paramètres suivants :



Stratégie McAfee par défaut

La protection par pare-feu est désactivée et les options suivantes sont sélectionnées pourapplication lors de l'activation du pare-feu :

• Autoriser le trafic relié par un pont

• Conserver les règles du client

• Activer la protection contre l'usurpation d'adresse IP

• Utiliser la fonction d'inspection du protocole FTP

Configuration de la stratégie Options de pare-feuConfigurez des paramètres dans cette stratégie pour activer et désactiver la protection parpare-feu ou pour appliquer le mode adaptatif ou d'apprentissage.

Tâche

Pour obtenir les définitions des options, cliquez sur ? dans la page contenant ces options.

1 Accédez à Systèmes | Catalogue de stratégies et sélectionnez Host IntrusionPrevention : Pare-feu dans la liste Produit et Options de pare-feu dans la listeCatégorie. La liste des stratégies s'affiche.

2 Dans la liste de stratégies Options de pare-feu, cliquez surModifier sous Actions pourmodifier les paramètres d'une stratégie personnalisée.

REMARQUE : pour les stratégies modifiables, d'autres options telles que Renommer,Dupliquer, Supprimer et Exporter, sont disponibles. Pour les stratégies non modifiables,les options disponibles sont les suivantes : Afficher et Dupliquer.

3 Dans la page Options de pare-feu qui s'affiche, modifiez les paramètres par défaut selonvos besoins, puis cliquez sur Enregistrer.

FAQ : McAfee TrustedSource et le pare-feuDeux options de la stratégie Options de pare-feu vous permettent de bloquer le trafic entrantet sortant d'une connexion réseau jugée à haut risque par McAfee TrustedSource™. Ce FAQexplique le fonctionnement de TrustedSource et son incidence sur le pare-feu.

TrustedSource : de quoi s'agit-il ?

TrustedSource est un système de renseignement mondial axé sur la réputation Internet quidistingue les bons des mauvais comportements sur Internet via une analyse en temps réel destendances mondiales en termes de messagerie, activité web, logiciels malveillants (malwares)et comportement de système à système. D'après les données obtenues de l'analyse,TrustedSource calcule dynamiquement les scores de réputation qui représentent le niveau derisque auquel est exposé votre réseau lorsque vous accédez à une page web. Il en résulte unebase de données de scores de réputation pour des adresses IP, des domaines, des messagesspécifiques, des URL et des images.

Fonctionnement

Lorsque les options TrustedSource sont sélectionnées, deux règles de pare-feu sont créées :TrustedSource -- Autoriser le service Host IPS et TrustedSource -- Obtenir l'évaluation. La



première règle autorise une connexion à TrustedSource et la seconde bloque ou autorise letrafic en fonction de la réputation de la connexion et du seuil de blocage défini.

Qu'entendez-vous par « réputation » ?

Pour chaque adresse IP sur Internet, TrustedSource calcule une valeur de réputation d'aprèsles comportements d'envoi ou d'hébergement et diverses données d'environnement relativesà l'état du paysage des cybermenaces qu'il collecte auprès de clients et partenaires, qu'il agrègeet qu'il met en corrélation automatiquement. La réputation s'exprime en quatre classes :

• Risque minimal (Ne pas bloquer) : notre analyse indique qu'il s'agit d'une source oud'une destination de contenu/trafic légitime.

• Non vérifié : notre analyse indique qu'il s'agit apparemment d'une source ou destinationde contenu/trafic légitime, mais elle contient certaines propriétés suggérant la nécessitéd'une inspection plus poussée.

• Risque moyen : notre analyse indique que cette source/destination présente uncomportement que nous jugeons suspect et que son contenu/trafic requiert un examenspécial.

• Risque élevé : notre analyse indique que cette source/destination envoie/héberge uncontenu/trafic potentiellement malveillant et nous pensons que cela représente un risquesérieux.

Cela entraîne-t-il des temps de latence ? Cette latence sera-t-elle importante ?

Lorsque TrustedSource est contacté pour une recherche de réputation, il est inévitable qu'unecertaine latence se produise. McAfee a fait son possible pour la réduire au maximum.

Tout d'abord, le contrôle des réputations n'est effectué que lorsque les options correspondantessont sélectionnées. Ensuite, une architecture de mémoire cache intelligente est utilisée. Dansles profils normaux d'utilisation du réseau, la plupart des connexions souhaitées sont résoluespar le cache sans requête de réputation active.

Que se passe-t-il lorsque le pare-feu ne parvient pas à atteindre les serveursTrustedSource ? Le trafic s'arrête-t-il ?

Si le pare-feu ne parvient à atteindre aucun des serveurs TrustedSource, il affecteautomatiquement à toutes les connexions applicables une réputation par défaut autorisée etl'analyse des règles suivantes se poursuit.

Définir la protection par pare-feuLes règles de pare-feu déterminent les actions d'un système lorsqu'il intercepte un trafic réseau(autoriser ou bloquer). Vous pouvez créer et gérer des règles de pare-feu en appliquant unestratégie Règles de pare-feu et une stratégie Blocage DNS du pare-feu avec les paramètresappropriés.

Sélections de la stratégie Règles de pare-feu

La catégorie de stratégies Règles de pare-feu contient deux stratégies préconfigurées ainsiqu'une stratégieMa stratégie par défautmodifiable, basée sur la stratégie McAfee par défaut.

Configuration des stratégies de pare-feuDéfinir la protection par pare-feu


Vous pouvez consulter et dupliquer la stratégie préconfigurée ainsi que modifier, renommer,dupliquer, supprimer et exporter les stratégies personnalisées modifiables.

Tableau 7 : Stratégies Règles de pare-feu préconfiguréesUtilisationStratégie

Utilisez cette stratégie pour une protection minimale pardéfaut. Elle effectue les tâches suivantes :

Minimale (par défaut)

• Bloque tout le trafic ICMP entrant susceptible d'êtreutilisé par un pirate pour rassembler des informationssur votre ordinateur. Host IPS autorise le reste dutrafic ICMP.

• Autorise les requêtes de partage de fichiers Windowsprovenant d'ordinateurs du même sous-réseau que levôtre et bloque les requêtes de partage de fichiers detoute autre origine (l'option Inclure un sous-réseaulocal automatiquement doit être sélectionnée pourla stratégie Réseaux approuvés).

• Vous autorise à parcourir les domaines, les groupesde travail et les ordinateurs Windows.

• Autorise tout trafic UDP élevé, entrant ou sortant.

• Autorise le trafic qui utilise les ports UDP BOOTP, DNSet Net Time.

Utilisez cette stratégie comme point de départ, puiscombinez-la avec les résultats obtenus en appliquant le

Environnement d'entreprise standard

mode adaptatif pour découvrir et vérifier les éventuellesrègles supplémentaires. Cette stratégie doit générer moinsde règles de client apprises en mode adaptatif que lesstratégies de pare-feu par défaut existantes.

Il s'agit d'une stratégie complète qui répond aux besoinsde la plupart des pare-feu d'entreprise.

Sélections de la stratégie Blocage DNS du pare-feu

La stratégie Blocage DNS du pare-feu contient une stratégie préconfigurée ainsi qu'une stratégieMa stratégie par défaut modifiable, basée sur la stratégie McAfee par défaut. Vous pouvezconsulter et dupliquer la stratégie préconfigurée ainsi que modifier, renommer, dupliquer,supprimer et exporter les stratégies personnalisées modifiables.

Configuration de la stratégie Règles de pare-feuConfigurez des paramètres dans cette stratégie pour définir des règles de protection par pare-feu.

CONSEIL : ne tentez pas de créer une stratégie dans son intégralité. Dupliquez une stratégieexistante puis modifiez les règles et groupes de la stratégie pour répondre à vos besoins.

Tâche


1 Accédez à Systèmes | Catalogue de stratégies et sélectionnez Host IntrusionPrevention : Pare-feu dans la liste Produit et Règles de pare-feu dans la listeCatégorie. La liste des stratégies s'affiche.



2 Dans la liste de stratégies Règles de pare-feu, cliquez sur Modifier sous Actions pourmodifier les paramètres d'une stratégie personnalisée.

REMARQUE : pour les stratégies personnalisées modifiables, d'autres options telles queRenommer, Dupliquer, Supprimer et Exporter, sont disponibles. Pour les stratégies nonmodifiables, les options disponibles sont les suivantes : Afficher et Dupliquer.



Cliquez sur Nouvelle règle ou Ajouter une règledepuis le catalogue. Pour en savoir plus, consultez

Ajouter une règle de pare-feu

Création et modification de règles de pare-feu ouUtilisation du catalogue Host IPS.

Cliquez sur Nouveau groupe ou Ajouter un groupedepuis le catalogue. Pour en savoir plus, consultez

Ajouter un groupe de pare-feu

Création et modification de groupes de règles depare-feu ou Utilisation du catalogue Host IPS.

Exécuter une action sur une seule règle ou sur ungroupe de règles

• Sélectionnez la règle ou le groupe dont afficher lerésumé des éléments dans le volet de droite.

• Sélectionnez la règle ou le groupe et cliquez sur :

• Modifier sous Actions pour modifier unélément ;

• Ajouter au catalogue sous Actions pourajouter l'élément au catalogue de pare-feu ;

• Déplacer vers le haut pour déplacer l'élémentvers le haut de la liste ;

• Déplacer vers le bas pour déplacer l'élémentvers le bas de la liste ;

• Dupliquer pour effectuer une copie del'élément ;

• Supprimer pour supprimer l'élément.

4 Cliquez sur Exporter pour exporter toutes les informations sur la règle ou le groupe de lastratégie vers un fichier XML. Ce fichier peut ensuite être importé dans le catalogue depare-feu ou vers une autre stratégie.


Création et modification de règles de pare-feuModifiez ou ajoutez une nouvelle règle de pare-feu dans la liste des règles d'une stratégie Règlesde pare-feu si des opérations précises ne sont pas traitées par la liste par défaut.

Tâche


1 Dans la page de stratégies Règles de pare-feu, cliquez sur Nouvelle règle pour créerune nouvelle règle ; cliquez sur Modifier sous Actions pour modifier une règle existante.

2 Entrez les informations appropriées sous chaque onglet, accessible en cliquant sur Suivantou sur le lien de l'onglet.



Définir ces options...Dans cet onglet...

Nom (requis), action, direction, statut.Description

Protocole Réseau, type de support, réseaux locaux et distantsRéseau

Protocole de transportTransport

Applications et fichiers exécutablesApplication

Paramètres de statut et temporelsPlanification

3 Dans l'onglet Résumé, vérifiez les détails de la règle et cliquez sur Enregistrer.

Création et modification de groupes de règles de pare-feuCréez ou modifiez un groupe de règles de pare-feu pour une stratégie Règles de pare-feu afinde créer un ensemble de règles à but unique.

Utilisez un groupe à but unique avec des règles permettant d'autoriser une connexion VPN parexemple. Les groupes apparaissent dans la liste de règles et sont précédés d'une flèche, surlaquelle il est possible de cliquer pour afficher ou masquer les règles du groupe.

Tâche

1 Dans la page de stratégies Règles de pare-feu, cliquez sur Nouveau groupe pour créerun nouveau groupe ; cliquez surModifier sous Actions pour modifier un groupe existant.

2 Entrez les informations appropriées sous chaque onglet, accessible en cliquant sur Suivantou sur le lien de l'onglet.

Définir ces options...Dans cet onglet...

Nom (requis), direction, statutDescription

Paramètres selon l'emplacement, notamment l'isolement de la connexionEmplacement

Protocole Réseau, type de support (filaire, sans fil, virtuel), réseaux locaux etdistants

Réseau

Protocole de transportTransport

Applications et fichiers exécutablesApplication

Paramètres de statut et temporels, notamment l'activation des groupes limitésPlanification

3 Dans l'onglet Résumé, vérifiez les détails du groupe et cliquez sur Enregistrer.

4 Créez de nouvelles règles dans ce groupe, ou déplacez des règles existantes à partir de laliste de règles de pare-feu ou du catalogue Host IPS.

Création de groupes d'isolement de connexionCréez un groupe de règles de pare-feu d'isolement de connexion pour établir un ensemble derègles s'appliquant uniquement lors de la connexion à un réseau avec des paramètres particuliers.

Tâche


1 Dans la page de la stratégie Règles de pare-feu, cliquez sur Nouveau groupe ou Ajouterun groupe depuis le catalogue.



2 Dans l'onglet Description, saisissez un nom descriptif dans le champ Nom.

3 Dans l'onglet Emplacement, sélectionnez Activé pour les options Statut de l'emplacementet Isolement de la connexion, saisissez un nom d'emplacement, puis un suffixe DNS,une passerelle par défaut ou d'autres critères de correspondance.

4 Dans l'onglet Réseau, sous Types de support, sélectionnez le type de connexion (Filaire,Sans fil, Virtuel) auquel appliquer les règles de ce groupe.

REMARQUE : les éléments Options de transport et Applications ne sont pas disponiblespour les groupes d'isolement de connexion.

5 Dans l'onglet Résumé, cliquez sur Enregistrer.

6 Créez de nouvelles règles dans ce groupe, ou déplacez des règles existantes à partir de laliste de règles de pare-feu ou du catalogue Host IPS.

Blocage du trafic DNSPour affiner la protection par pare-feu, vous pouvez créer une liste de serveurs de noms dedomaine bloqués par Host IPS en n'autorisant pas la résolution de leur adresse IP.

REMARQUE : n'utilisez pas cette fonction pour bloquer les domaines complets mais bloquezl'adresse distante du FQDN dans une règle de pare-feu.

Tâche


1 Dans la page de la stratégie Blocage DNS du pare-feu, cliquez sur Nouvelle règle pourcréer une nouvelle règle ; cliquez sur Modifier sous Actions pour modifier une règleexistante.

2 Cliquez sur Ajouter un domaine bloqué.

3 Dans la zone de texte, saisissez le nom du serveur de noms de domaine à bloquer. Utilisezles caractères génériques * et ? ; par exemple *domaine.com. Saisissez un nom par entrée.

4 Cliquez sur le bouton Ajouter pour ajouter d'autres adresses ; cliquez sur le boutonSupprimer pour supprimer des adresses.


Utilisation du catalogue Host IPSLe catalogue Host IPS vous permet d'ajouter de nouveaux éléments ou de référencer deséléments existants pour utilisation avec le pare-feu. Cette tâche vous permet de rechercher etde modifier des éléments de catalogue existants, de créer et d'ajouter de nouveaux élémentsde catalogue ou d'importer et d'exporter des éléments de catalogue.

Tâche


1 Accédez à Systèmes | Catalogue Host IPS.

2 Sous Type d'élément, sélectionnez un élément du catalogue. Les choix suivants s'offrentà vous : Groupe, Règle, Application, Processus, Réseau et Emplacement.

3 Effectuez l'une des actions suivantes à partir de la page du catalogue :




Entrez les critères de filtrage puis cliquez sur Définirun filtre. Cliquez sur Effacer pour revenir à l'affichagepar défaut.

Filtrer un élément

Sélectionnez Options | Choisir les colonnes,sélectionnez, supprimez ou réorganisez les colonnespuis cliquez sur Enregistrer.

Modifier l'affichage des éléments

Cliquez sur le lien associé à l'élément. Cliquez surModifier pour modifier l'élément, cliquez sur

Modifier un élément

Dupliquer pour créer une copie de l'élément, cliquezsur Supprimer pour supprimer l'élément.

REMARQUE : si vous supprimez un élément doté d'unlien de dépendance, une nouvelle copie indépendantede l'élément supprimé est placée avec la règle ou legroupe lié.

Cliquez sur Nouveau. Dans la ou les pages quis'affichent, saisissez les données appropriées, puiscliquez sur Enregistrer.

Créer et ajouter un élément

Cliquez sur le lien Exporter associé à l'élément.Exporter un élément unique

Cliquez sur Exporter dans le coin supérieur droit de lapage, puis nommez et enregistrez le fichier au formatXML.

Exporter tous les éléments du type de catalogue

Cliquez sur Importer dans le coin supérieur droit dela page, puis recherchez et ouvrez le fichier au formatXML contenant les données de catalogue.

Importer les éléments du type de catalogue

REMARQUE : pour ajouter un élément du catalogue lors de la création d'une règle ou d'ungroupe de pare-feu, cliquez sur Ajouter depuis le catalogue dans la partie inférieurede la page du générateur approprié. Pour ajouter un élément créé lors de l'utilisation duGénérateur de règles ou de groupes de pare-feu, cliquez sur le lien Ajouter au catalogueen regard de l'élément. Lors de l'ajout d'un élément à partir du catalogue ou dans cedernier, vous créez un lien de dépendance entre l'élément et le catalogue par le biais d'unlien Mettre un terme à la référence du catalogue. Si vous cliquez sur ce lien, ladépendance entre l'élément et le catalogue est supprimée et un nouvel élément indépendantest créé à la place, avec la règle ou le groupe lié.

Gestion des règles de pare-feu pour le clientL'affichage des règles de pare-feu pour le client créées automatiquement en mode adaptatifou d'apprentissage ou créées manuellement sur un client, puis leur déplacement vers unestratégie Règles de pare-feu peuvent affiner et renforcer la sécurité.

REMARQUE : l'accès aux règles de pare-feu pour le client dans l'onglet Host IPS sous Rapportsnécessite d'autres autorisations que celle relative au pare-feu Host Intrusion Prevention,notamment des autorisations de consultation pour l'accès au journal des événements, auxsystèmes et à l'arborescence des systèmes.

Tâche


1 Accédez à Rapports | Host IPS, puis cliquez sur Règles de pare-feu pour le client.



2 Dans l'arborescence des systèmes, sélectionnez le groupe dont vous souhaitez afficher lesrègles de client.

3 Déterminez la manière dont vous souhaitez visualiser la liste de règles de client :


Sélectionnez Choisir les colonnes dans le menuOptions. Dans la page Sélectionner les colonnes,

Sélectionner les colonnes à afficher

ajoutez, supprimez ou réorganisez les colonnes àafficher.



Filtrer par groupes

Sélectionnez l'heure à laquelle la règle a été créée :Aucune, Depuis ou Entre. Lorsque vous avez sélectionné

Filtrer par heure de création

Depuis, saisissez une date de début. Lorsque vous avezsélectionné Entre, saisissez une date de début et unedate de fin. Cliquez sur Effacer pour supprimer lesparamètres du filtre.

Saisissez le chemin de processus, le nom de processus,le nom d'utilisateur, le nom de l'ordinateur ou l'ID de

Filtrer par texte recherché

signature sur lequel effectuer le filtrage. Cliquez surEffacer pour supprimer les paramètres du filtre.

Cliquez sur Agréger, sélectionnez les critères selonlesquels agréger des règles, puis cliquez sur OK. Cliquez

Agréger des règles

sur Effacer pour supprimer les paramètresd'agrégation.

4 Pour transférer des règles vers une stratégie, sélectionnez-en une ou plusieurs dans laliste, cliquez sur Créer une règle de pare-feu, puis indiquez la stratégie vers laquelledéplacer les règles.

FAQ : Utilisation des caractères génériques dans les règles depare-feu

Lors de la saisie de valeurs dans certains champs des règles de pare-feu, Host IPS autorisel'utilisation de caractères génériques.

Quels caractères génériques puis-je utiliser pour les valeurs de chemin et d'adresse ?

Pour les chemins de fichiers, clés de Registre, fichiers exécutables et URL, utilisez les caractèresgénériques suivants :



Plusieurs caractères, excepté / et \. A utiliser pourreprésenter le contenu au niveau racine d'un dossier, sanssous-dossier.

* (astérisque)

Plusieurs caractères, y compris / et \.** (deux astérisques)




Caractère générique d'échappement.

REMARQUE : l'échappement correspondant à ** est |*|*.

| (barre verticale)

REMARQUE : les chemins de clés de Registre ne reconnaissent pas les caractères génériquespour les emplacements de groupes de pare-feu.

Quels caractères génériques puis-je utiliser pour toutes les autres valeurs ?

Pour les valeurs ne contenant habituellement aucune information de chemin avec barres obliques,utilisez les caractères génériques suivants :



Plusieurs caractères, y compris / et \.* (astérisque)




Configuration des stratégies généralesLa fonction Générale de Host Intrusion Prevention permet d’accéder aux stratégies générales,non spécifiques à IPS ou au pare-feu.

Table des matières

Présentation des stratégies générales

Définition des fonctionnalités du client

Définition des réseaux approuvés

Définition des applications approuvées

Présentation des stratégies généralesLes stratégies générales s'utilisent avec les fonctions IPS et Pare-feu et contrôlent l'accès clientainsi que les réseaux et applications approuvés.

Toutes les stratégies et les options s'appliquent aux systèmes d'exploitation Windows. Sur lessystèmes non Windows, seules les stratégies et options sélectionnées s'appliquent. Pour ensavoir plus, consultez la section Mise en œuvre des stratégies avec le client Solaris/Linux sousUtilisation de clients Host IPS.


Il existe trois stratégies générales :

Interface utilisateur du client : détermine les options disponibles pour un ordinateur clientWindows, notamment l'affichage ou non de l'icône du client Host IPS dans la barre d'étatsystème, les types d'alertes d'intrusion, les mots de passe permettant d'accéder à l'interfaceclient et les options de dépannage. La fonctionnalité de mot de passe est utilisée pour les clientssur des plates-formes Windows et non Windows.

Réseaux approuvés : répertorie les adresses IP et les réseaux, y compris les exceptionsTrustedSource, jugés comme sûrs pour la communication. Les réseaux approuvés peuventinclure des adresses IP individuelles ou des plages d'adresses IP. Le marquage des réseauxcomme approuvés élimine ou réduit la nécessité d'exceptions IPS réseau et de règles de pare-feusupplémentaires. Pour les clients Windows uniquement.

Applications approuvées : répertorie les applications sûres et dépourvues de toutevulnérabilité connue. Le marquage des applications comme approuvées élimine ou réduit lanécessité d'exceptions IPS et de règles de pare-feu supplémentaires. A l'instar de la stratégieRègles IPS, cette catégorie de stratégies peut contenir plusieurs instances de stratégie. Pourdes clients sur des plates-formes Windows et non Windows.

Les paramètres des stratégies Réseaux approuvés et Applications approuvées peuventréduire ou éliminer les faux positifs, ce qui facilite le réglage du déploiement.


Définition des fonctionnalités du clientLa stratégie Interface utilisateur du client détermine l'apparence et le fonctionnement des clientsHost IPS. Pour les clients Windows, cela inclut les paramètres d'affichage des icônes, les réactionsaux événements d'intrusion et l'accès pour les administrateurs et utilisateurs du client. Pour lesclients non Windows, seule la fonction de mot de passe pour l'accès administratif est valide.

Les options de cette stratégie permettent de satisfaire les exigences de trois rôles utilisateurtypes :

FonctionnalitéType d'utilisateur

L'utilisateur moyen, qui a installé le client Host Intrusion Prevention sur un poste de travailou un ordinateur portable. La stratégie Interface utilisateur du client permet à cet utilisateur :

Normal

• d'afficher l'icône du client Host Intrusion Prevention dans la barre d'état système et delancer la console client ;

• d'afficher des alertes pop-up d'intrusion ou de les désactiver ;

• de désactiver temporairement la protection IPS et par pare-feu.

L'utilisateur, peut-être avec un ordinateur portable, qui est déconnecté du serveur HostIntrusion Prevention pendant un certain temps. Cet utilisateur rencontre peut-être des

Déconnecté

problèmes techniques avec Host Intrusion Prevention ou a besoin d'effectuer des opérationssans interaction avec Host Intrusion Prevention. La stratégie Interface utilisateur du clientpermet à cet utilisateur d'obtenir un mot de passe à validité limitée pour effectuer destâches d'administration ou pour activer ou désactiver des fonctions de protection.

Un administrateur informatique pour tous les ordinateurs qui doit effectuer des opérationsspéciales sur un ordinateur client, sans tenir compte des stratégies éventuelles autorisées

Administrateur

par l'administrateur. La stratégie Interface utilisateur du client permet à cet utilisateurd'obtenir un mot de passe administrateur illimité pour effectuer des tâches d'administration.

Les tâches d'administration pour les utilisateurs déconnectés et administrateurs incluent :

• l'activation ou la désactivation des stratégies IPS et de pare-feu ;

• la création d'autres règles IPS et de pare-feu si certaines activités légitimes sontbloquées.

REMARQUE : les modifications de stratégie d'administration effectuées à partir de la consoleePolicy Orchestrator ne seront mises en œuvre qu'après expiration du mot de passe. Lesrègles de client créées pendant ce temps sont conservées si les règles d'administrationl'autorisent.

La stratégie Interface utilisateur du client contient une stratégie préconfigurée et une stratégieMa stratégie par défaut modifiable. Vous pouvez consulter et dupliquer la stratégiepréconfigurée ; vous pouvez créer, modifier, renommer, dupliquer, supprimer et exporter lesstratégies personnalisées modifiables.

Configuration d'une stratégie Interface utilisateur du clientConfigurez des paramètres dans la stratégie pour indiquer l'affichage des icônes, les réactionsaux événements d'intrusion ainsi que l'accès utilisateur de client et d'administrateur sur lesclients Windows.

Tâche


1 Accédez à Systèmes | Catalogue de stratégies et sélectionnez Host IntrusionPrevention : Générale dans la liste Produit et Interface utilisateur du client dansla liste Catégorie. La liste de stratégies s'affiche.

Configuration des stratégies généralesDéfinition des fonctionnalités du client


2 Dans la liste de stratégies Interface utilisateur du client, cliquez sur Modifier sousActions pour modifier les paramètres d'une stratégie personnalisée.

3 Dans la page Interface utilisateur du client, sélectionnez un onglet (Options générales,Options avancées, Options de dépannage) et apportez toutes les modificationssouhaitées. Pour en savoir plus, consultez la section Configuration des options généralesde l'interface utilisateur du client, Configuration des options avancées de l'interface utilisateurdu client ou Configuration des options de dépannage de l'interface utilisateur du client.


Configuration des options générales de l'interface utilisateur duclient

Configurez des paramètres au niveau de l'onglet Paramètres généraux de la stratégie Interfaceutilisateur du client pour déterminer l'affichage des icônes et les réactions aux événementsd'intrusion pour les clients Windows uniquement.

Dans cet onglet, vous pouvez configurer les options d'affichage de l'interface utilisateur du clientet indiquer la réponse du client en cas d'événement d'intrusion.

Tâche


1 Cliquez sur l'onglet Paramètres généraux de la stratégie Interface utilisateur du clientet sous Options d'affichage, sélectionnez l'option permettant d'afficher l'icône de la barred'état système pour accéder au menu de la console client ou d'afficher l'application dansla liste Ajout/Suppression de programmes.

REMARQUE : les utilisateurs ayant ponctuellement besoin de désactiver la fonction HostIntrusion Prevention afin d'accéder à une application ou un site réseau légitime mais bloqué,peuvent utiliser le menu de l'icône de la barre d'état système Host Intrusion Preventionpour désactiver une fonction sans ouvrir la console client. La fonction désactivée restedésactivée jusqu'à ce qu'elle soit restaurée par la commande du menu ou par la mise enœuvre de stratégie suivante. Remarque :

• La désactivation d'IPS désactive à la fois la protection Host IPS et IPS réseau.

• Si l'interface utilisateur du client est déverrouillée, les commandes du menu n'ont aucuneffet.

Pour cette fonction, sélectionnez l'option d'affichage de l'icône puis dans l'onglet Optionsavancées, sélectionnez Autoriser la désactivation de fonctions à partir de l'icônede la barre d'état système et sélectionnez une ou toutes les fonctions à désactiver.

2 Sous En cas d'événement d'intrusion, sélectionnez les options contrôlant la réactiondu client en cas d'intrusion.

Configuration des options avancées de l'interface utilisateur duclient et des mots de passe

Configurez les paramètres au niveau de l'onglet Options avancées de la stratégie Interfaceutilisateur du client pour l'accès par mot de passe aux clients Windows et non Windows.



Les mots de passe déverrouillent la console client Windows et l'accès à la commande dedépannage sur les clients Windows et non Windows. Lorsque cette stratégie est appliquée auclient, le mot de passe est activé.

Deux types de mots de passe sont disponibles :

• Un mot de passe administrateur, qu'un administrateur peut configurer et qui reste validetant que la stratégie est appliquée au client. La console client reste déverrouillée jusqu'à safermeture. Pour rouvrir les commandes de la console client, entrez à nouveau le mot depasse administrateur.

• Un mot de passe à validité limitée, comportant une date et une heure d'expiration. Ce motde passe est généré automatiquement. Vous pouvez indiquer le système unique sur lequelcréer le mot de passe ou le créer dans la stratégie Interface utilisateur du client pour tousles systèmes sur lesquels la stratégie est mise en œuvre. La console client reste déverrouilléejusqu'à sa fermeture.

REMARQUE : les stratégies ne sont pas mises en œuvre sur le client lorsque la console clientest déverrouillée.

Pour plus d'informations, reportez-vous à la section Déverrouillage de l'interface du clientWindows.

Tâche

1 Cliquez sur l'onglet Options avancées dans la stratégie Interface utilisateur du clientappliquée à un système ou à un groupe.

2 Déterminez le type de mot de passe à créer.

Opérations à exécuter...Pour ce type de mot de passe...

Administrateur • Saisissez un mot de passe dans la zone de texte Mot de passe.Il doit compter au moins dix caractères.

• Saisissez à nouveau le mot de passe dans la zone de texteConfirmer le mot de passe.

• Cliquez sur Enregistrer.

A validité limitée • Sélectionnez Activer le mot de passe à validité limitée.

• Entrez la date et l'heure d'expiration du mot de passe, puis cliquezsur Calculer un mot de passe à validité limitée. Le mot depasse ainsi que sa date et son heure d'expiration s'affichent dansune boîte de dialogue.

• Cliquez sur Enregistrer.

Création de mots de passe système par systèmeVous pouvez créer et affecter des mots de passe à validité limitée système par système.

Tâche

1 Vérifiez dans l'onglet Avancé de la stratégie Interface utilisateur du client que l'optionrelative aux mots de passe à validité limitée est sélectionnée.

2 Cliquez sur Enregistrer si vous avez modifié la stratégie.

3 Sélectionnez Systèmes | Arborescence des systèmes.

4 Appliquez la stratégie Interface utilisateur du client au groupe contenant le système uniqueauquel appliquer le mot de passe.



5 Sélectionnez le groupe et, dans l'onglet Systèmes, sélectionnez un système.

6 Cliquez sur Créer un mot de passe à validité limitée.

7 Spécifiez la date et l'heure d'expiration du mot de passe, puis cliquez sur Calculer un motde passe à validité limitée. Le mot de passe s'affiche dans la boîte de dialogue.

Configuration des options de dépannage de l'interface utilisateurdu client

Configurez les paramètres au niveau de l'onglet Dépannage de la stratégie Interface utilisateurdu client pour les options de journalisation ainsi que l'activation et la désactivation des moteurs.

Plutôt que d'utiliser la fonction de dépannage de chaque client, vous pouvez appliquer desoptions de dépannage au niveau de la stratégie, qui déclenchent la journalisation des événementsIPS et de pare-feu et désactivent les moteurs IPS particuliers. Lorsque vous désactivez lesmoteurs, n'oubliez pas de les réactiver après le dépannage.

Tâche

1 Cliquez sur l'onglet Dépannage dans la stratégie Interface utilisateur du client.

2 Sélectionnez les paramètres de stratégie à appliquer :

Opérations à exécuter...Pour

Sélectionnez dans la liste le type de messagedéclenchant la journalisation des événements depare-feu.

Activer la journalisation de pare-feu

• Débogage journalise tous les messages.

• Informations journalise les informations, lesavertissements et les messages d'erreur.

• Avertissement journalise les avertissements etles messages d'erreur.

• Erreur journalise les messages d'erreur.

• Désactivé ne journalise aucun message.

Le chemin du fichier journal sur les clients Windowsest : C:\Documents and Settings\All Users\ApplicationData\McAfee\Host Intrusion Prevention\FireSvc.log ;sous Windows Vista, Windows 2008 et Windows 7 :C:\Program Data\McAfee\Host IntrusionPrevention\FireSvc.log.

Sélectionnez dans la liste le type de messagedéclenchant la journalisation des événements IPS.

Activer la journalisation IPS

• Débogage journalise tous les messages.

• Informations journalise les informations, lesavertissements et les messages d'erreur.

• Avertissement journalise les avertissements etles messages d'erreur.

• Erreur journalise les messages d'erreur.

• Désactivé ne journalise aucun message.

Le chemin du fichier journal sur les clients Windowsest : C:\Documents and Settings\All Users\ApplicationData\McAfee\Host Intrusion Prevention\HipShield.log ;sous Windows Vista, Windows 2008 et Windows 7 :C:\Program Data\McAfee\Host IntrusionPrevention\HipShield.log



Opérations à exécuter...Pour

Sélectionnez Journaliser les violations de sécuritépour que les événements de violation s'affichent dansle journal IPS.

Inclure les violations de sécurité dans le journal IPS

Remplacez la taille du journal, de 1 Mo par défaut, parun nombre plus grand.

Définir la taille en Mo du journal des événements surle client

Désactivez la case pour désactiver un moteur puisréactivez-la pour réactiver le moteur.

Activer et désactiver les moteurs

REMARQUE : pour plus de détails concernant l'utilisation directe du client HIP, consultezUtilisation des clients Host Intrusion Prevention.

Définition des réseaux approuvésLa stratégie Réseaux approuvés tient à jour une liste d'adresses réseau et de sous-réseaux quevous pouvez marquer comme approuvés pour les clients sous Windows et appliquer auxexceptions IPS réseau ainsi qu'aux règles de pare-feu dont l'adresse distante est définie surapprouvée.

Cette catégorie de stratégies contient une stratégie préconfigurée, qui inclut automatiquementdes sous-réseaux locaux, mais n'énumère aucune adresse réseau, ainsi qu'une stratégiemodifiable Ma stratégie par défaut. Vous pouvez consulter et dupliquer la stratégiepréconfigurée ; vous pouvez créer, modifier, renommer, dupliquer, supprimer et exporter lesstratégies personnalisées modifiables.

Configuration d'une stratégie Réseaux approuvésConfigurez des paramètres dans cette stratégie pour configurer les options de réseaux approuvéset tenir une liste à jour des adresses réseau et sous-réseaux que vous pouvez marquer commeapprouvés pour les clients Windows uniquement.

Vous pouvez effectuer les opérations suivantes :

• Configurer des options de réseaux approuvés, notamment des exceptions TrustedSource.

• Ajouter ou supprimer des adresses ou des sous-réseaux dans la liste approuvée.

REMARQUE : pour les règles de pare-feu, vous devez définir l'adresse distante sur Approuvéepour exploiter cette fonction.

Tâche


1 Accédez à Systèmes | Catalogue de stratégies et sélectionnez Host IntrusionPrevention : Générale dans la liste Produit et Réseaux approuvés dans la listeCatégorie. La liste de stratégies s'affiche.

2 Dans la liste de stratégies Réseaux approuvés, cliquez sur Modifier sous Actions pourmodifier les paramètres d'une stratégie personnalisée.


Configuration des stratégies généralesDéfinition des réseaux approuvés



Sélectionnez Activé sous Inclure un sous-réseau localautomatiquement.

Traiter automatiquement tous les utilisateurs du mêmesous-réseau comme approuvés, même ceux qui ne sontpas dans la liste.

Saisissez une adresse IP, une plage d'adresses ou unsous-réseau approuvé dans la zone de texte Réseauxapprouvés.

Ajouter une adresse réseau approuvée à la liste.

Sélectionnez Faire confiance à IPS.Marquer le réseau comme approuvé pour des signaturesIPS réseau ou les signatures Host IPS et IPSpersonnalisées de type HTTP.

Cliquez sur le bouton Supprimer ( - ) ou Ajouter ( + ).Supprimer ou ajouter une entrée d'adresse réseauapprouvée.


Définition des applications approuvéesLa stratégie Applications approuvées constitue le mécanisme de création d'une liste d'applicationsapprouvées et ne doit entraîner la génération d'aucun événement. Tenir une liste à jour desapplications sûres pour un système réduit ou élimine la plupart des faux positifs.

La stratégie Applications approuvées est une stratégie à plusieurs instances qui vous permetd'affecter plusieurs instances de stratégie : le profil d'utilisation des applications approuvéesn'en est que plus détaillé.

Pour régler un déploiement, la création de règles d'exception IPS est un moyen de réduire lesfaux positifs. Ce n'est pas toujours pratique lorsque plusieurs milliers de clients sont impliquésou lorsque le temps et les ressources sont limités. Une solution plus efficace consiste à créerune liste d'applications approuvées, connues pour être sûres dans un environnement particulier.Par exemple, lorsque vous exécutez une application de sauvegarde, de nombreux événementsde faux positifs peuvent être déclenchés. Pour éviter cela, faites de l'application de sauvegardeune application approuvée.

REMARQUE : une application approuvée est sensible à des vulnérabilités courantes, comme leBuffer Overflow et l'utilisation illégale. Ainsi, une application approuvée est toujours surveilléeet peut déclencher des événements pour empêcher les exploits.

Cette catégorie de stratégies contient une stratégie préconfigurée, qui fournit une listed'applications McAfee et de processus Windows spécifiques. Vous pouvez consulter et dupliquerla stratégie préconfigurée ou modifier, renommer, dupliquer, supprimer et exporter les stratégiespersonnalisées.

Configuration d'une stratégie Applications approuvéesConfigurez des paramètres dans la stratégie pour dresser la liste des applications jugées sûresdans un environnement particulier.

Tâche


1 Accédez à Systèmes | Catalogue de stratégies et sélectionnez Host IntrusionPrevention : Générale dans la liste Produit et Applications approuvées dans la listeCatégorie. La liste de stratégies s'affiche.

Configuration des stratégies généralesDéfinition des applications approuvées


2 Dans la liste de stratégies Applications approuvées, cliquez surModifier sous Actionspour modifier les paramètres d'une stratégie personnalisée.



Cliquez sur Ajouter une application. Pour de plusamples informations, consultez Création et modificationde règles d'applications approuvées.

Ajouter une application

Sélectionnez-les et cliquez sur :Exécuter une action sur une ou plusieurs applicationsà la fois • Activer pour activer une application désactivée.

• Désactiver pour désactiver une applicationactivée.

• Supprimer pour supprimer des applications.

• Copier vers pour copier des applications versune autre stratégie. Vous êtes invité à indiquerla stratégie.

Cliquez sur :Exécuter une action sur une seule application

• Modifier pour modifier une application existante.Pour de plus amples informations, consultezCréation et modification de règles d'applicationsapprouvées.

• Dupliquer pour faire une copie de l'applicationau sein de la même stratégie et nommée « copiede » l'application originale.

• Supprimer pour effacer l'application de la liste.


Création et modification de règles d'applications approuvéesModifiez des applications approuvées existantes ou créez-en de nouvelles pour obtenir la listede toutes les applications jugées sûres pour votre environnement.

Tâche


1 Dans la page de la stratégie Applications approuvées, cliquez sur Nouvelle applicationapprouvée pour créer une règle ; cliquez sur Modifier sous Actions pour modifier unerègle existante.

REMARQUE : vous pouvez également créer des applications approuvées basées sur unévénement. Pour en savoir plus, consultez Création d'une application approuvée à partird'un événement sous Configuration des stratégies IPS.

2 Saisissez ou modifiez le nom de l'application et indiquez son statut, notamment sil'application est approuvée pour IPS, le pare-feu ou les deux.

3 Cliquez sur Nouveau pour ajouter un fichier exécutable pour l'application.

REMARQUE : vous pouvez ajouter un fichier exécutable existant à partir du catalogue HostIPS en cliquant sur Ajouter depuis le catalogue. Pour en savoir plus sur le catalogue,



consultez la section Fonctionnement du catalogue Host IPS sous Configuration des stratégiesde pare-feu.

4 Cliquez sur OK pour enregistrer les modifications.

Affectation de plusieurs instances de la stratégieL'affectation d'une ou plusieurs instances de la stratégie à un groupe ou système del'arborescence des systèmes ePolicy Orchestrator offre une protection multiusage à stratégieunique.

La stratégie Règles IPS et la stratégie Applications approuvées sont des stratégies à plusieursinstances : il est possible d'affecter plus d'une instance. Une stratégie à plusieurs instancespeut s'avérer utile pour un serveur IIS, par exemple, car vous pouvez appliquer une stratégiegénérale par défaut, une stratégie de serveur et une stratégie IIS, ces deux dernières étantconfigurées pour cibler spécifiquement les systèmes cibles fonctionnant en tant que serveursIIS. Lorsque vous affectez plusieurs instances, vous affectez un ensemble de tous les élémentsde chaque instance de la stratégie.

REMARQUE : la stratégie McAfee par défaut des Règles IPS et Applications approuvées est miseà jour en même temps que le contenu. Il est recommandé d'appliquer systématiquement cesdeux stratégies afin de garantir une protection la plus à jour possible.

Pour les stratégies à plusieurs instances, un lien Stratégie en cours s'affiche pour vous permettrede consulter les détails des instances de stratégie combinées.

Tâche


1 Accédez à Systèmes | Arborescence des systèmes et sélectionnez un groupe dansl'arborescence des systèmes.

REMARQUE : pour un système unique, sélectionnez un groupe de l'arborescence dessystèmes contenant le système, puis dans l'onglet Systèmes, sélectionnez le système puisPlus d'actions | Modifier les stratégies sur un seul système.

2 Sous Stratégies, sélectionnez McAfee Host Intrusion Prevention 8.0 : IPS/Généraldans la liste Produit, puis pour Règles IPS/Applications approuvées, cliquez surModifier les affectations.

3 Dans la page Affectation de stratégie, cliquez sur Nouvelle instance de stratégieet sélectionnez une stratégie dans la liste Stratégies affectées pour l'instance de stratégiesupplémentaire. Pour afficher l'effet combiné des jeux de règles à plusieurs instances,cliquez sur Afficher la stratégie en vigueur.

4 Cliquez sur Enregistrer pour enregistrer toutes les modifications.



Utilisation des clients Host IntrusionPrevention

Le client Host Intrusion Prevention peut être installé sur les plates-formes Windows, Solaris etLinux. Seul le client Windows dispose d'une interface, mais toutes les versions comprennentune fonctionnalité de dépannage. Les fonctions de base de chaque version de client sont décritesici.

Table des matières

Présentation du client Windows

Présentation du client Solaris

Présentation du client Linux

Présentation du client WindowsUne gestion directe côté client du client Windows Host Intrusion Prevention est disponible viaune console client. Pour l'afficher, utilisez le menu de l'icône McAfee de la barre d'état systèmeou exécutez le fichierMcAfeeFire.exe dans C:\Program Files\McAfee\Host Intrusion Prevention.

Lors de la première ouverture de la console client, les options sont verrouillées et vous nepouvez afficher que les paramètres actuels. Pour un contrôle complet de tous les paramètresde la console, déverrouillez l'interface à l'aide d'un mot de passe. Pour en savoir plus sur lacréation et l'utilisation des mots de passe, consultez la section Configuration des options avancéesde l'interface utilisateur du client et des mots de passe sous Configuration des stratégiesgénérales.

Menu de l'icône de la barre d’état systèmeLorsque l'icône McAfee s'affiche dans la barre d'état système, elle permet d'accéder à la consoleclient Host IPS. Les fonctionnalités diffèrent en fonction de la version de McAfee Agent installéesur le client.

Avec McAfee Agent 4.0

Cliquez sur l'icône McAfee Agent avec le bouton droit de la souris et sélectionnez Host IntrusionPrevention pour afficher un menu contextuel, à partir duquel vous pouvez ouvrir la console.

Tableau 8 : Menu de McAfee Agent 4.0Pour...Cliquez sur…

Ouvrir la console du client Host Intrusion Prevention.Configurer



Ouvrir la boîte de dialogue A propos de Host IntrusionPrevention, qui affiche le numéro de version et d'autresinformations sur le produit.

A propos de...

Si l'option Autoriser la désactivation de fonctions à partir de l'icône de la barre d'étatsystème est sélectionnée dans une stratégie d'interface utilisateur du client mise en œuvre,les commandes supplémentaires suivantes sont disponibles :

Tableau 9 : Menu de McAfee Agent 4.0 avec Autoriser la désactivationPour...Cliquez sur…

Activer toutes les fonctions désactivées. Disponibleuniquement si l'une des fonctions est désactivée.

Restaurer les paramètres

Désactiver les fonctions IPS et de pare-feu. Disponibleuniquement si les deux fonctions sont activées.

Désactiver Tous

Désactiver la fonction IPS. Cela inclut les fonctionnalitésHost IPS et IPS réseau. Disponible uniquement si lafonction est activée.

Désactiver IPS

Désactiver la fonction de pare-feu. Disponible uniquementsi la fonction est activée.

Désactiver Pare-feu

Si l'option Activer les groupes limités depuis le menu de l'icône de la barre d'étatsystème McAfee de l'onglet Planifier est sélectionnée pour un groupe de pare-feu dans unestratégie Règles de pare-feu mise en œuvre, les commandes supplémentaires suivantes sontdisponibles :

Tableau 10 : Menu de McAfee Agent 4.0 avec Activer les groupes limitésPour...Cliquez sur…

Activer les groupes de règles de pare-feu pour une duréedéterminée afin d'autoriser l'accès à Internet non lié au

Activer les groupes de règles de pare-feu limités pour laprotection Host IPS

réseau avant la mise en œuvre des règles limitant cetaccès. Chaque fois que cette commande est sélectionnée,la limite de durée est réinitialisée pour les groupes.

Afficher le nom des groupes de règles de pare-feu limitéset la durée d'activité restante pour chacun d'entre eux.

Afficher le statut des groupes de règles de pare-feu limitéspour la protection Host IPS

Avec McAfee Agent 4.5

Cliquez sur l'icône McAfee Agent de la barre d'état système avec le bouton droit de la souris,puis sélectionnez Gérer les fonctions | Host Intrusion Prevention pour ouvrir la console.

REMARQUE : McAfee Agent et le client Host IPS doivent être configurés pour en afficher uneicône d'accès. Si McAfee Agent ne s'affiche pas dans la barre d'état système, il est impossibled'accéder à Host IPS avec une icône de barre d'état système, même si le client est configurépour en afficher une.

Sous Réglages rapides, ces options Host Intrusion Prevention sont disponibles lorsque l'optionAutoriser la désactivation de fonctions à partir de l'icône de la barre d'état systèmeest sélectionnée dans une stratégie de l'interface utilisateur du client mise en œuvre :

Tableau 11 : Réglages rapides du menu de McAfee Agent 4.5Pour...Cliquez sur…

Activer et désactiver la protection Host IPSHost IPS

Activer et désactiver la protection IPS réseauIPS réseau

Utilisation des clients Host Intrusion PreventionPrésentation du client Windows



Activer et désactiver la protection par pare-feu.Pare-feu

Toujours sous Réglages rapides, si l'option Activer les groupes limités depuis le menude l'icône de la barre d'état système McAfee de l'onglet Planifier est sélectionnée pour ungroupe de pare-feu dans une stratégie Règles de pare-feu mise en œuvre, les commandessupplémentaires suivantes sont disponibles :

Tableau 12 : Menu de McAfee Agent 4.5 avec Activer les groupes limitésPour...Cliquez sur…

Activer les groupes de règles de pare-feu pour une duréedéterminée afin d'autoriser l'accès à Internet non lié au

Activer les groupes de règles de pare-feu limités pour laprotection Host IPS

réseau avant la mise en œuvre des règles limitant cetaccès. Chaque fois que cette commande est sélectionnée,la limite de durée est réinitialisée pour les groupes.

Afficher le nom des groupes de règles de pare-feu limitéset la durée d'activité restante pour chacun d'entre eux.

Afficher le statut des groupes de règles de pare-feu limitéspour la protection Host IPS

Console client pour les clients WindowsLa console client Host Intrusion Prevention vous permet d'accéder à différentes options deconfiguration. Pour ouvrir la console, effectuez l'une des actions suivantes :

• Dans McAfee Agent 4.0, cliquez avec le bouton droit de la souris sur l'icône McAfee,sélectionnez Host Intrusion Prevention, puis Configurer.

• Dans McAfee Agent 4.5, cliquez avec le bouton droit de la souris sur l'icône McAfee,sélectionnez Gérer les fonctions, Host Intrusion Prevention puis Configurer.

• Dans le dossier C:\Program Files\McAfee\Host Intrusion Prevention, exécutezMcAfeeFire.exe.

La console vous permet de configurer et d'afficher des informations sur les fonctions HostIntrusion Prevention. Elle contient plusieurs onglets, qui correspondent à une fonction HostIntrusion Prevention spécifique.

Déverrouillage de l'interface du client WindowsUn administrateur gérant Host Intrusion Prevention à distance grâce à ePolicy Orchestratorpeut protéger l'interface avec un mot de passe afin d'éviter toute modification accidentelle. Lesmots de passe fixes qui n'expirent pas et les mots de passe à validité limitée permettent àl'administrateur ou à l'utilisateur de déverrouiller temporairement l'interface et d'y apporter desmodifications.


Assurez-vous que la stratégie Interface utilisateur du client Host IPS générale, qui contient lesparamètres de mot de passe, a été mise en œuvre sur le client. Cela se produit lors de la miseà jour planifiée de la stratégie ou en forçant une mise à jour immédiate de cette dernière. Leclient ne reconnaît pas le mot de passe avant la mise à jour de la stratégie.



Tâche

1 Obtenez un mot de passe auprès de l'administrateur Host Intrusion Prevention.

REMARQUE : pour en savoir plus sur la création de mots de passe, consultez la sectionConfiguration des options avancées de l'interface utilisateur du client et des mots de passesous Configuration des stratégies générales.

2 Ouvrez la console client, puis sélectionnez Tâche | Déverrouiller l'interface utilisateur.

3 Dans la boîte de dialogue Connexion, saisissez le mot de passe et cliquez sur OK.

Configuration des options de l'interface utilisateur du clientLa console du client Host Intrusion Prevention vous permet d'accéder à certains paramètresfournis par la stratégie Interface utilisateur du client et de les personnaliser individuellementpour chaque client.


Pour effectuer la tâche suivante, vous devez tout d'abord déverrouiller la console client à l'aided'un mot de passe.

Tâche

1 Dans la console client, sélectionnez Tâche | Définir la langue de l'interface utilisateur.

2 Sélectionnez la langue de l'interface de la console client et cliquez sur OK. Optionspossibles : Allemand, Anglais, Chinois, Coréen, Espagnol, Français, Italien, Japonais,Portugais, Russe. L'option « Automatique » permet d'afficher l'interface dans la langue dusystème d'exploitation sur lequel le client est installé.

3 Sélectionnez Modifier | Options.

4 Dans la boîte de dialogue Options Host Intrusion Prevention, sélectionnez etdésélectionnez les options souhaitées puis cliquez sur OK.

Tableau 13 : Options de la console clientPour que cette action se produise...Sélectionnez...

Afficher une alerte en cas d'attaque (IPS uniquement).Afficher une alerte pop-up

Emettre un signal sonore en cas d'attaque (IPSuniquement).

Emettre un signal sonore

Afficher le statut d'une attaque dans l'icône de la barred'état système en cas d'attaque (IPS uniquement).

Afficher une notification sur la barre d'état système

Ajouter une colonne de capture au journal d'activité etindiquer que les données d'intrusion de renifleur ont

Créer une capture de renifleur si disponible

été capturées. Ces données sont enregistrées dans unfichier FirePacketX.cap au niveau du répertoireC:\Program Data\McAfee\Host IntrusionPrevention\McAfee Fire Saved Events ou C:\Documentsand Settings\All Users\Application Data\McAfee\HostIntrusion Prevention\McAfee Fire Saved Events (IPSuniquement).

Host Intrusion Prevention s'affiche sous le menu del'icône de la barre d'état système pour McAfee Agent.

Afficher l'icône de la barre d'état système



Dépannage du client WindowsHost Intrusion Prevention propose une fonctionnalité de dépannage, disponible dans le menuAide, lorsque l'interface est déverrouillée. Les options disponibles sont les suivantes :

Tableau 14 : Options de dépannageDéfinitionOption

Détermine le type de message de pare-feu à journaliser.Journalisation : pare-feu

Détermine le type de message IPS à journaliser.Journalisation : IPS *

Permettre la journalisation des violations de sécurité IPSdans le journal IPS.

Journaliser les violations de sécurité *

Autoriser Host IPS à s'afficher dans la listeAjout/Suppression de programmes et à être supprimé duclient.

Afficher le produit dans la liste Ajout/Suppression deprogrammes

Désactiver/réactiver les moteurs de classes Host IPS lorsdu dépannage.

Fonctionnalité *

* Cette option est disponible uniquement avec la protection IPS.

REMARQUE : McAfee fournit un utilitaire (clientControl.exe) afin d'aider à automatiser les misesà niveau et les autres tâches de maintenance lorsqu'un logiciel tiers est utilisé pour déployerHost Intrusion Prevention sur des ordinateurs clients. Cet utilitaire de ligne de commande, quipeut être inclus dans les scripts d'installation et de maintenance pour désactiver temporairementla protection IPS et activer les fonctions de journalisation, est fourni avec le programmed'installation et se trouve sur le client dans le répertoire C:\ Program Files\McAfee\Host IntrusionPrevention. Consultez la section Utilitaire Clientcontrol.exe sous Annexe B : Dépannage pourplus d'informations.

Configuration des options de journalisation IPSDans le cadre d'un dépannage, vous pouvez créer des journaux d'activité IPS pouvant êtreanalysés sur le système ou envoyés au support de McAfee pour vous aider à résoudre lesproblèmes. Utilisez cette tâche pour activer la journalisation IPS.

Tâche

1 Dans la console de Host IPS, sélectionnez Aide | Dépannage.

2 Sélectionnez le type de message IPS :

• Débogage

• Désactivé

• Erreur

• Informations

• AvertissementSi le type de message est défini sur Désactivé, aucun message n'est journalisé.

3 Cliquez sur OK. Les informations sont consignées dans le fichier HipShield.log présent dansle dossier C:\Documents and Settings\All Users\Application Data\McAfee\Host IntrusionPrevention\ ; sous Windows Vista et les versions ultérieures, le dossier est C:\ProgramData\McAfee\Host Intrusion Prevention\.



Configuration des options de journalisation de pare-feuDans le cadre d'un dépannage, vous pouvez créer des journaux d'activité de pare-feu pouvantêtre analysés sur le système ou envoyés au support de McAfee pour vous aider à résoudre lesproblèmes. Utilisez cette tâche pour activer la journalisation de pare-feu.

Tâche

1 Dans la console de Host IPS, sélectionnez Aide | Dépannage.

2 Sélectionnez le type de message de pare-feu :

• Débogage

• Désactivé

• Erreur

• Informations

• AvertissementSi le type de message est défini sur Désactivé, aucun message n'est journalisé.

3 Cliquez sur OK. Les informations sont consignées dans le fichier FireSvc.log présent dansle dossier C:\Documents and Settings\All Users\Application Data\McAfee\Host IntrusionPrevention\ ; sous Windows Vista et les versions ultérieures, le dossier est C:\ProgramData\McAfee\Host Intrusion Prevention\. Dès que le fichier atteint 100 Mo, un nouveaufichier est créé.

Désactivation des moteurs Host IPSLors d'un dépannage, vous pouvez également désactiver les moteurs de classes qui protègentun client. Il est recommandé que seuls les administrateurs en communication avec le supportde McAfee utilisent cette procédure de dépannage. Pour mieux comprendre la protectionapportée par chaque classe, consultez la section relative à la Création de signaturespersonnalisées.

Tâche


1 Dans la console Host IPS, sélectionnez Aide | Dépannage, puis cliquez surFonctionnalités.

2 Dans la boîte de dialogue Moteurs HIPS, désélectionnez un ou plusieurs moteurs. Pourdésactiver tous les moteurs, désélectionnez Activer/désactiver tous les moteurs.

REMARQUE : SQL et HTTP n'apparaissent dans la liste que si le client exécute un systèmed'exploitation serveur.

3 Cliquez sur OK.

4 Une fois le problème résolu, sélectionnez à nouveau tous les moteurs désélectionnés auniveau de la boîte de dialogue Moteurs HIPS.

Alertes client WindowsUn utilisateur peut être confronté à plusieurs types de messages d'alerte et doit réagir enconséquence. Ces alertes peuvent concerner la détection d'intrusions, le pare-feu et la détectiond'usurpation. Les alertes de pare-feu se produisent uniquement lorsque le client est en moded'apprentissage pour ces fonctions.



Réponse aux alertes d'intrusionSi vous activez la protection IPS et l'option Afficher une alerte pop-up, cette alerte s'afficheautomatiquement lorsque Host Intrusion Prevention détecte une attaque potentielle. Si le clientest en mode adaptatif, cette alerte s'affiche uniquement si l'option Autoriser les règles du clientest désactivée pour la signature ayant entraîné l'événement.

L'onglet Informations sur l'intrusion détaille l'attaque qui a généré l'alerte, y compris la descriptionde l'attaque, l'ordinateur client/de l'utilisateur où l'attaque s'est produite, le processus impliquédans l'attaque et la date et heure à laquelle Host Intrusion Prevention a intercepté l'attaque.En outre, un message générique spécifié par l'administrateur peut s'afficher.

Vous pouvez ignorer l'événement en cliquant sur Ignorer ou créer une règle d'exception pourcet événement en cliquant sur Créer une exception. Le bouton Créer une exception est actifuniquement si l'option Autoriser les règles du client est activée pour la signature ayant entraînél'événement.

Si l'alerte résulte d'une signature IP hôte, la boîte de dialogue de la règle d'exception estpréremplie avec le nom du processus, l'utilisateur et la signature. Vous pouvez sélectionnerToutes les signatures ou Tous les processus, mais pas les deux. Le nom d'utilisateur esttoujours inclus dans l'exception.

Si l'alerte résulte d'une signature IPS réseau, la boîte de dialogue de la règle d'exception estpréremplie avec le nom de la signature et l'adresse IP de l'hôte. Si vous le souhaitez, vouspouvez sélectionner Tous les hôtes.

De plus, vous pouvez cliquer sur Notifier l'administrateur pour envoyer des informationssur l'événement à l'administrateur Host Intrusion Prevention. Ce bouton est actif uniquementsi l'option Permettre à l'utilisateur de notifier l'administrateur est activée dans la stratégieInterface utilisateur du client appliquée.

Sélectionnez N'afficher aucune alerte pour les événements IPS pour cesser d'afficherdes alertes pour les événements IPS. Pour afficher à nouveau les alertes après avoir sélectionnécette option, sélectionnez Afficher une alerte pop-up dans la boîte de dialogue Options.

REMARQUE : cette alerte d'intrusion s'affiche également pour les intrusions de pare-feu si unerègle de pare-feu avec l'option Considérer une correspondance à la règle comme une intrusionsélectionnée est admise.

Réponse aux alertes de pare-feuSi vous activez la protection par pare-feu et le mode d'apprentissage pour le trafic entrant ousortant, une alerte de pare-feu s'affiche et l'utilisateur doit y répondre.

La section Informations sur l'application affiche des informations sur l'application tentantd'accéder au réseau, y compris le nom, le chemin d'accès et la version de l'application. La sectionInformations sur la connexion affiche des informations sur le protocole, l'adresse et les portsdu trafic.

REMARQUE : les boutons Précédent et Suivant sont disponibles dans la section Informationssur la connexion s'il existe des informations supplémentaires relatives au protocole ou au portpour une application. Les boutons Précédent et Suivant sont disponibles dans la partie inférieurede la boîte de dialogue en cas d'envoi de plusieurs alertes.

Tâche

1 Dans la boîte de dialogue d'alerte, effectuez l'une des actions suivantes :

• Cliquez sur Refuser pour bloquer ce trafic et tout trafic similaire.



• Cliquez sur Autoriser pour autoriser le passage de ce trafic et de tout trafic similairepar le pare-feu.

2 Facultatif : sélectionnez les options de la nouvelle règle de pare-feu :

Pour...Sélectionnez...

Créer une règle pour autoriser ou bloquer le trafic d'uneapplication sur n'importe quel port ou service. Si vous

Créer une règle de pare-feu pour l'application pour tousles ports et services

ne sélectionnez pas cette option, la nouvelle règle depare-feu autorise ou bloque uniquement certains ports :

• Si le trafic intercepté utilise un port inférieur à 1024,la nouvelle règle autorise ou bloque uniquement ceport-là.

• Si le trafic utilise le port 1024 ou un port supérieur,la nouvelle règle autorise ou bloque les portscompris entre 1024 et 65535.

Créer une règle d'autorisation ou de blocage temporairequi sera supprimée lorsque vous quitterez l'application.

Supprimer cette règle à l'arrêt de l'application

Si vous ne sélectionnez pas ces options, la nouvellerègle de pare-feu est créée comme une règle de clientpermanente.

Host Intrusion Prevention crée une nouvelle règle de pare-feu en fonction des optionssélectionnées, l'ajoute à la liste des stratégies Règles de pare-feu et autorise ou bloqueautomatiquement tout trafic similaire.

Réponse aux alertes d'usurpation détectéeSi vous activez la protection par pare-feu, une alerte d'usurpation s'affiche automatiquementsi Host Intrusion Prevention détecte une application de votre ordinateur envoyant du traficréseau avec usurpation et si un utilisateur doit y répondre.

Cela signifie que l'application tente de faire croire que le trafic de votre ordinateur provient enréalité d'un autre ordinateur. Elle y parvient en modifiant l'adresse IP des paquets sortants.L'usurpation est toujours une activité suspecte. Si cette boîte de dialogue s'affiche, examinezimmédiatement l'application qui a envoyé le trafic usurpé.

REMARQUE : la boîte de dialogue Alerte : usurpation détectée ne s'affiche que si voussélectionnez l'option Afficher une alerte pop-up. Si vous ne sélectionnez pas cette option, HostIntrusion Prevention bloque automatiquement le trafic usurpé sans vous le signaler.

La boîte de dialogue Alerte : usurpation détectée ressemble beaucoup à l'alerte Moded'apprentissage de la fonction de pare-feu. Elle affiche des informations concernant le traficintercepté dans deux zones : la section Informations sur l'application et la section Informationssur la connexion.

La section Informations sur l'application affiche :

• l'adresse IP dont le trafic prétend provenir ;

• des informations sur le programme générateur du trafic usurpé ;

• l'heure et la date auxquelles Host Intrusion Prevention a intercepté le trafic.

La section Informations sur la connexion fournit d'autres informations sur le réseau. Par exemple,Adresse locale affiche l'adresse IP que l'application prétend avoir, alors qu'Adresse distanteaffiche votre adresse IP réelle.

Lorsque Host Intrusion Prevention détecte un trafic réseau usurpé, il bloque le trafic etl'application qui l'a généré.



A propos de l'onglet Stratégie IPSUtilisez l'onglet Stratégie IPS pour configurer la fonction IPS, qui protège des attaques d'intrusionde l'hôte selon des règles de signature et comportementales. À partir de cet onglet, vous pouvezactiver ou désactiver les fonctionnalités et configurer des règles d'exception du client. Pour plusde détails sur les stratégies IPS, consultez la section Configuration des stratégies IPS.

L'onglet Stratégie IPS affiche les règles d'exception relatives au client et fournit un résumé etdes informations détaillées pour chaque règle.

Tableau 15 : Onglet Stratégie IPSAfficheCette colonne...

Nom de l'exception.Exception

Nom de la signature grâce à laquelle l'exception est créée.Signature

Application à laquelle cette règle s'applique, notammentle nom du programme et le nom du fichier exécutable.

Application

Personnalisation des options de la stratégie IPSLes options en haut de l'onglet contrôlent les paramètres fournis par les stratégies IPS côtéserveur après déverrouillage de l'interface du client.

Tâche

1 Dans la console client Host IPS, cliquez sur l'onglet Stratégie IPS.

2 Sélectionnez ou désélectionnez une option, selon vos besoins.


Activer la protection Host Intrusion Prevention.Activer Host IPS

Activer la protection de prévention des intrusions dansle réseau.

Activer l'IPS réseau

Activer le mode adaptatif pour créer automatiquementdes exceptions aux signatures de prévention desintrusions.

Activer le mode adaptatif

Bloquer automatiquement les intrusions dans le réseau,pour un laps de temps défini. Indiquez le nombre deminutes dans le champ min.

Bloquer automatiquement les pirates

Création et modification des règles d'exception de la stratégie IPSAffichez, créez et modifiez des règles d'exception IPS au niveau de l'onglet Stratégie IPS duclient.

Tâche

1 Dans l'onglet Stratégie IPS, cliquez sur Ajouter pour ajouter une règle.

2 Dans la boîte de dialogue Règle d'exception, saisissez une description pour la règle.

3 Sélectionnez l'application à laquelle la règle s'applique à partir de la liste ou cliquez surParcourir pour rechercher l'application.



4 Sélectionnez Règle d'exception active pour activer la règle. L'option L'exceptions'applique à toutes les signatures, ni activée ni sélectionnée par défaut, appliquel'exception à toutes les signatures.

5 Cliquez sur OK.

6 Pour d'autres modifications, effectuez l'une des actions suivantes :


Double-cliquez sur une règle ou sélectionnez une règleet cliquez sur Propriétés. La boîte de dialogue Règle

Afficher les détails d'une règle ou modifier une règle

d'exception s'affiche et indique les informations derègle pouvant être modifiées.

Activez ou désactivez la case Règle d'exception activedans la boîte de dialogue Règle d'exception. Vous

Activer/désactiver une règle

pouvez également activer ou désactiver la case enregard de l'icône de la règle dans la liste.

Sélectionnez une règle et cliquez sur Supprimer.Supprimer une règle

Cliquez sur Appliquer. Si vous ne cliquez pas sur cebouton après avoir effectué les modifications, une boîtede dialogue s'affiche et vous invite à les enregistrer.

Appliquer les modifications immédiatement

A propos de l'onglet Stratégie de pare-feuUtilisez l'onglet Stratégie de pare-feu pour configurer la fonction de pare-feu, qui autorise oubloque la communication réseau sur la base des règles que vous avez définies. A partir de cetonglet, vous pouvez activer ou désactiver les fonctionnalités et configurer des règles de pare-feudu client. Pour plus de détails sur les stratégies de pare-feu, consultez la section Configurationdes stratégies de pare-feu.

La liste des règles de pare-feu affiche les règles et les groupes de règles relatifs au client etfournit un résumé et des informations détaillées pour chaque règle. Les règles en italique nepeuvent pas être modifiées.

Tableau 16 : Onglet Stratégie de pare-feuDescriptionElément

Indique si la règle est activée (cochée) ou désactivée(décochée). Lorsque les règles ne sont pas en italique,

Case à cocher

vous pouvez activer et désactiver la règle via cette case àcocher.

Affiche la liste de règles qu'il contient. Cliquez sur la caseplus pour afficher les règles ; cliquez sur la case moinspour les masquer.

Groupe de pare-feu

Indique que le groupe est un groupe limité.Groupe limité

Indique que le groupe est un groupe selon l'emplacement.Groupe selon l'emplacement

Affiche les propriétés de base de la règle. Cliquez sur lacase plus pour afficher les propriétés ; cliquez sur la casemoins pour les masquer.

Règle de pare-feu

Indique si la règle autorise le trafic ou le bloque :Action de règle



DescriptionElément

Indique si la règle s'applique au trafic entrant , au

trafic sortant ou aux deux .

Direction de la règle

Personnalisation des options de la stratégie de pare-feuLes options en haut de l'onglet contrôlent les paramètres fournis par les stratégies de pare-feucôté serveur après déverrouillage de l'interface du client.

Tâche

1 Dans la console du client Host IPS, cliquez sur l'onglet Stratégie de pare-feu.


Sélectionnez...Pour...

Activer le pare-feuActiver la protection de la stratégie de pare-feu

Mode d'apprentissage entrantActiver le mode d'apprentissage pour le trafic entrant

Mode d'apprentissage sortantActive le mode d'apprentissage pour le trafic sortant.

Mode adaptatifActiver le mode adaptatif

Réseaux approuvésAfficher des réseaux approuvés

Création et modification de règles de pare-feuAffichez, créez et modifiez des règles de pare-feu au niveau de l'onglet Stratégie de pare-feudu client.

Tâche

1 Dans l'onglet Stratégie de pare-feu, cliquez sur Ajouter pour ajouter une règle.

REMARQUE : vous pouvez créer uniquement des règles dans la console client, pas degroupes.

2 Dans la page Général, saisissez le nom de la règle et sélectionnez les informations relativesà l'action et à la direction de la règle.

3 Cliquez sur Suivant pour passer aux autres pages et modifier les paramètres par défaut.

REMARQUE : chaque page du Générateur de règles correspond à un onglet du Générateurde règles de pare-feu dans la stratégie Règles de pare-feu.

Entrez ces informations...Pour cette page...

Nom, statut, action et direction de la règle.Général

Adresse IP, sous-réseau, domaine ou autre identifiant spécifique de cetterègle.

Réseaux

Le protocole et les adresses locales ou distantes auxquels cette règles'applique. Vous pouvez définir une adresse individuelle, un intervalled'adresses, une liste d'adresses spécifiques ou indiquer toutes les adresses.

Transport



Entrez ces informations...Pour cette page...

Applications auxquelles cette règle s'applique, notamment le nom du fichierexécutable.

Applications

La planification de la règle, le cas échéant.Planification

4 Cliquez sur Terminer pour enregistrer la nouvelle règle.



Sélectionnez une règle et cliquez sur Propriétés. La boîte de dialogue duGénérateur de règles de pare-feu s'affiche. Elle contient des informations surla règle. Si la règle n'est pas en italique, vous pouvez la modifier.

Afficher les détails d'une règleou modifier une règle

Activez ou désactivez la case située en regard de la page Général de la règlede pare-feu. Vous pouvez également activer ou désactiver la case en regard dela règle dans la liste.

Activer/désactiver une règle

Sélectionnez la règle, en général une règle par défaut ne pouvant être modifiée,puis cliquez sur Dupliquer.

Copier une règle existante

Sélectionnez une règle et cliquez sur Supprimer.Supprimer une règle

Cliquez sur Appliquer. Si vous ne cliquez pas sur ce bouton après avoir effectuéles modifications, une boîte de dialogue s'affiche et vous invite à les enregistrer.

Appliquer les modificationsimmédiatement

A propos de l'onglet Hôtes bloquésUtilisez l'onglet Hôtes bloqués pour surveiller une liste d'hôtes (adresses IP) bloqués,automatiquement créée lorsque la protection IPS réseau (NIPS) est activée. Si l'option Créerdes règles du client est sélectionnée dans la stratégie Options IPS de la console ePolicyOrchestrator, vous pouvez ajouter des hôtes bloqués à la liste et la modifier.

La liste des hôtes bloqués affiche tous les hôtes actuellement bloqués par Host IntrusionPrevention. Chaque ligne représente un hôte. Vous pouvez obtenir plus d'informations sur leshôtes en lisant les informations fournies dans chaque colonne.

Tableau 17 : Onglet Hôtes bloquésCe qu'elle afficheColonne

Adresse IP que Host Intrusion Prevention bloque.Source

Explique pourquoi Host Intrusion Prevention bloque cetteadresse.

Si Host Intrusion Prevention a ajouté cette adresse à laliste en raison d'une tentative d'attaque de votre

Motif du blocage

système, cette colonne décrit le type d'attaque. Si HostIntrusion Prevention a ajouté cette adresse car l'une deses règles de pare-feu utilise l'option Considérer lescorrespondances comme des intrusions, cettecolonne répertorie le nom de la règle de pare-feucorrespondante. Si vous avez ajouté cette adressemanuellement, cette colonne répertorie uniquementl'adresse IP bloquée.

Heure et date auxquelles vous avez ajouté cette adresseà la liste des adresses bloquées.

Heure



Ce qu'elle afficheColonne

Durée pendant laquelle Host Intrusion Prevention continueà bloquer cette adresse.

Si vous avez indiqué une heure d'expiration au momentdu blocage de l'adresse, cette colonne indique le nombre

Temps restant

de minutes restantes avant que Host Intrusion Preventionne supprime l'adresse de la liste. Si vous avez indiquéque vous souhaitez que cette adresse soit bloquéejusqu'à sa suppression manuelle de la liste, cette colonneindique Jusqu'à suppression.

Modification de la liste des Hôtes bloquésModifiez la liste des adresses bloquées pour ajouter, supprimer, modifier ou afficher des hôtesbloqués.

Tâche

1 Cliquez sur Ajouter pour ajouter un hôte.

2 Dans la boîte de dialogue Hôte bloqué, saisissez l'adresse IP que vous voulez bloquer. Pourrechercher une adresse IPS par nom de domaine, cliquez sur Recherche DNS. Si voustrouvez le nom d'hôte à cet endroit, cliquez sur Utiliser.

3 Saisissez le nombre de minutes, jusqu'à 60, durant lesquelles bloquer l'adresse IP.

4 Cliquez sur OK.

REMARQUE : après avoir créé une adresse bloquée, Host Intrusion Prevention ajoute unenouvelle entrée à la liste dans l'onglet Protection d'applications. Il bloque toute tentativede communication depuis cette adresse IP jusqu'à suppression de cette adresse de la listedes adresses bloquées ou expiration de la durée définie.



Double-cliquez sur une entrée d'hôte ou sélectionnezun hôte et cliquez sur Propriétés. La boîte de dialogue

Afficher les détails d'un hôte bloqué ou modifier un hôtebloqué

Hôte bloqué affiche des informations pouvant êtremodifiées.

Sélectionnez un hôte et cliquez sur Supprimer.Supprimer un hôte bloqué

Cliquez sur Appliquer. Si vous ne cliquez pas sur cebouton après avoir effectué les modifications, une boîtede dialogue s'affiche et vous invite à les enregistrer.


A propos de l'onglet Liste de protection des applicationsL'onglet Liste de protection des applications affiche une liste d'applications protégées sur leclient. Il s'agit d'une liste de stratégies d'administration en lecture seule et d'une listed'applications spécifiques au client créée de manière heuristique.



Cette liste montre tous les processus surveillés sur le client.

Tableau 18 : Onglet Protection d'applicationsCe qu'elle afficheColonne

Processus d'application.Processus

ID de processus, essentiel pour rechercher un processusdans la mémoire cache.

PID

Chemin d'accès complet du fichier exécutable del'application.

Chemin d'accès complet à l'application

A propos de l'onglet Journal d'activitéUtilisez l'onglet Journal d'activité pour configurer la fonction de journalisation et suivre les actionsde Host Intrusion Prevention.

Le Journal d'activité contient un journal des activités en cours. Les activités les plus récentesapparaissent au bas de la liste.

Ce qu'elle afficheColonne

Date et heure de l'action Host Intrusion Prevention.Heure

Fonction qui a effectué l'action.Evénement

• Trafic indique une action de pare-feu.

• Application indique une action de blocage d'application.

• Intrusion indique une action IPS.

• Système indique un événement lié aux composants internes du logiciel.

• Service indique un événement lié aux services ou aux pilotes du logiciel.

Adresse distante à laquelle cette communication a été envoyée ou de laquelleelle provient.

Adresse IP/utilisateur

Icône indiquant que Host Intrusion Prevention a enregistré les données dupaquet associées à cette attaque (s'affiche uniquement pour les entrées de

Données d'intrusion

journal IPS). Vous pouvez exporter les données du paquet associées à cetteentrée de journal. Cliquez sur l'entrée de journal avec le bouton droit de lasouris pour enregistrer les données dans un fichier renifleur.

REMARQUE : cette colonne s'affiche uniquement si vous sélectionnez Créerune capture de renifleur... dans la boîte de dialogue Options McAfee.

Programme qui a causé l'action.Application

Description de l'action, avec autant de détails que possible.Message

Nom de la règle mise en correspondance.

REMARQUE : cette colonne se situe à l'extrême droite de l'écran. Vous devezdonc faire défiler ou redimensionner les colonnes pour afficher la colonneconcernée et son contenu.

Règle correspondante

Personnalisation des options du journal d'activitéLes options en haut de l'onglet contrôlent les paramètres de journalisation fournis par lesstratégies de l'interface utilisateur du client côté serveur après déverrouillage de l'interface duclient.



Tâche

1 Dans la console du client Host IPS, cliquez sur l'onglet Journal d'activité.



Journalise tout le trafic de pare-feu bloqué.Journalisation du trafic - Journaliser tous les élémentsbloqués

Journalise tout le trafic de pare-feu autorisé.Journalisation du trafic - Journaliser tous les élémentsautorisés

Filtre les données pour afficher le trafic de pare-feubloqué et autorisé.

Options de filtre - Trafic

Filtre les données pour afficher les intrusions.Options de filtre - Intrusions

REMARQUE : vous pouvez activer et désactiver la journalisation pour le trafic de pare-feu,mais pas pour la fonction IPS. Cependant, vous pouvez choisir de masquer ces événementsdans le journal en les éliminant par filtrage.

3 Suivez l'une des procédures suivantes pour modifier l'affichage :


Cliquez sur Actualiser.Actualiser l'affichage

Cliquez sur Effacer.Supprimer définitivement le contenu du journal

Cliquez sur Exporter. Dans la boîte de dialogue qui s'affiche,nommez et enregistrez le fichier .txt.

Enregistrer le contenu du journal et supprimer laliste de l'onglet

Cliquez sur Appliquer. Si vous ne cliquez pas sur ce boutonaprès avoir effectué les modifications, une boîte de dialogues'affiche et vous invite à les enregistrer.


Présentation du client SolarisLe client Solaris Host Intrusion Prevention identifie et prévient les attaques potentiellementnuisibles et susceptibles de compromettre le bon fonctionnement des fichiers et applicationsd'un serveur Solaris. Il protège le système d'exploitation du serveur et les serveurs web Apacheet Sun en s'axant particulièrement sur le blocage des attaques par Buffer Overflow.

Mise en œuvre des stratégies avec le client SolarisLes stratégies qui protègent un client Windows ne sont pas toutes applicables au client Solaris.En bref, Host Intrusion Prevention protège le serveur hôte des attaques nuisibles mais n'offrepas de protection par pare-feu. Les stratégies disponibles sont présentées ci-après.

Tableau 19 : Stratégies de client SolarisOptions disponiblesStratégie

Host Intrusion Prevention 8.0 IPS

Options IPS • Activer HIPS

• Activer le mode adaptatif

• Conserver les règles de client existantes

Utilisation des clients Host Intrusion PreventionPrésentation du client Solaris


Options disponiblesStratégie

TousProtection IPS

Règles IPS • Règles d'exception

• Signatures (règles HIPS par défaut et personnaliséesuniquement)

REMARQUE : les signatures et règles de protection desapplications NIPS ne sont pas disponibles.

Host Intrusion Prevention 8.0 General

Aucune sauf administrative ou mot de passe à validitélimitée pour permettre l'utilisation de l'outil de dépannage.

Interface utilisateur du client

AucunRéseaux approuvés

Uniquement Marquer comme sécurisée pour IPS etNouveau nom de processus pour ajouter des applicationsapprouvées.

Applications approuvées

AucuneHost Intrusion Prevention 8.0 Firewall

Dépannage du client SolarisSi un problème survient au moment de l'installation ou de la désinstallation du client, plusieurséléments doivent être examinés. On peut notamment s'assurer que tous les fichiers nécessairesont été installés dans le bon répertoire, désinstaller puis réinstaller le client et vérifier les journauxde processus. En outre, vous pouvez rencontrer des problèmes avec le fonctionnement duclient. Vérifiez que le client est bien en cours d'exécution, arrêtez-le puis redémarrez-le.

Le client Solaris ne possède pas d'interface utilisateur pour le dépannage des problèmes liésau fonctionnement. Il propose un outil de dépannage de ligne de commande, hipts, situé dansle répertoire /opt/McAfee/hip. Pour utiliser cet outil, vous devez donner le mot de passe du clientHost Intrusion Prevention. Utilisez le mot de passe par défaut du client (abcde12345) ou envoyezune stratégie d'interface utilisateur au client avec un mot de passe administrateur ou un motde passe à validité limitée défini avec la stratégie et utilisez-le.

L'outil de dépannage permet :

• d'indiquer les paramètres de journalisation et le statut du moteur du client ;

• d'activer et de désactiver la journalisation des messages ;

• d'activer et de désactiver les moteurs.

Connectez-vous en tant qu'administrateur et exécutez les commandes d'aide au dépannageci-dessous :

Exécutez...Pour...

hipts statusObtenir l'état actuel du client indiquant quel type dejournalisation est activé et quels moteurs sont en coursd'exécution.

hipts logging onActiver la journalisation de types de messages spécifiques.

hipts logging offDésactiver la journalisation de tous les types de messages.La journalisation est désactivée par défaut.

hipts message <message name>:onAfficher le type de message indiqué lorsque lajournalisation est activée. Ces messages comprennent :

• error



Exécutez...Pour...

• warning

• debug

• info

• violations

hipts message <message name>:offMasquer le type de message indiqué lorsque lajournalisation est activée. L'erreur de message estdésactivée par défaut.

hipts message all:onAfficher tous les types de message lorsque la journalisationest activée.

hipts message all:offMasquer tous les types de message lorsque lajournalisation est activée.

hipts engines <engine name>:onActiver le moteur indiqué. Le moteur est activé par défaut.Les moteurs comprennent :

• MISC

• FILES

• GUID

• MMAP

• BO

• HTTP

hipts engines <engine name>:offDésactiver le moteur indiqué.

hipts engines all:onActiver tous les moteurs.

hipts engines all:offDésactiver tous les moteurs.

CONSEIL : outre l'utilisation de l'outil de dépannage, consultez les fichiers HIPShield.log etHIPClient.log dans le répertoire /opt/McAfee/hip/log pour vérifier les opérations ou effectuer lesuivi des problèmes.

Vérification des fichiers d'installation SolarisAprès une installation, vérifiez que tous les fichiers ont été installés dans le bon répertoire, surle client. Le répertoire /opt/McAfee/hip doit contenir les fichiers et répertoires essentiels suivants :

DescriptionNom du fichier/répertoire

Client SolarisHipClient ; HipClient-bin

Règles de stratégieHipClientPolicy.xml

Outil de dépannagehipts ; hipts-bin

Host Intrusion Prevention et modules d'objets partagés de McAfeeAgent

*.so

Contient des fichiers journaux d'erreurs et de débogageRépertoire log

L'historique d'installation est consigné dans /opt/McAfee/etc/hip-install.log. Reportez-vous à cefichier pour toute question concernant le processus d'installation ou de suppression du clientHost Intrusion Prevention.



Vérification de l'exécution du client SolarisLe client est correctement installé, mais vous pouvez rencontrer des problèmes au moment deson utilisation. Si le client ne s'affiche pas sur la console ePO par exemple, utilisez l'une descommandes suivantes pour vérifier qu'il est en cours d'exécution :

• /etc/rc2.d/S99hip status

• ps –ef | grep Hip

Arrêt du client SolarisDans le cadre d'un dépannage, vous pourriez être amené à arrêter un client en cours d'exécutionpuis à le redémarrer.

Tâche

1 Pour arrêter l'exécution d'un client, désactivez d'abord la protection IPS. Utilisez l'une desprocédures suivantes :

• Définissez Options IPS sur Désactivé, dans la console ePO, et appliquez la stratégieau client.

• Une fois connecté à la racine, exécutez la commande suivante : hipts engines MISC:off

2 Exécutez la commande suivante : /sbin/rc2.d/S99hip stop

Redémarrage du client SolarisDans le cadre d'un dépannage, vous pourriez être amené à arrêter un client en cours d'exécutionpuis à le redémarrer.

Tâche

1 Exécutez la commande suivante : /sbin/rc2.d/S99hip restart.

2 Activez la protection IPS. Utilisez l'une des procédures suivantes, selon celle que vous avezutilisée pour arrêter le client :

• Définissez Options IPS sur Activé, dans la console ePO, et appliquez la stratégie auclient.

• Une fois connecté à la racine, exécutez la commande suivante : hipts engines MISC:on

Présentation du client LinuxLe client Linux Host Intrusion Prevention identifie et prévient les attaques potentiellementnuisibles et susceptibles de compromettre le bon fonctionnement des fichiers et applicationsd'un serveur Linux. Il protège le système d'exploitation du serveur et les serveurs web Apacheen s'axant particulièrement sur le blocage des attaques par Buffer Overflow.

Mise en œuvre des stratégies avec le client LinuxLes stratégies qui protègent un client Windows ne sont pas toutes applicables au client Linux.En bref, Host Intrusion Prevention protège le serveur hôte des attaques nuisibles mais n'offre

Utilisation des clients Host Intrusion PreventionPrésentation du client Linux


pas de protection en matière d'intrusion dans le réseau, notamment en cas de Buffer Overflow.Les stratégies disponibles sont présentées ci-après.

Tableau 20 : Stratégies du client LinuxOptions disponiblesStratégie

Host Intrusion Prevention 8.0 IPS

Options IPS • Activer HIPS

• Activer le mode adaptatif

• Conserver les règles de client existantes

TousProtection IPS

Règles IPS • Règles d'exception

• Signatures (règles HIPS par défaut et personnaliséesuniquement)

REMARQUE : les signatures et règles de protection desapplications NIPS ne sont pas disponibles.

Host Intrusion Prevention 8.0 General

Aucune sauf administrative ou mot de passe à validitélimitée pour permettre l'utilisation de l'outil de dépannage.

Interface utilisateur du client

AucunRéseaux approuvés

Uniquement Marquer comme sécurisée pour IPS etNouveau nom de processus pour ajouter des applicationsapprouvées.

Applications approuvées

AucuneHost Intrusion Prevention 8.0 Firewall

Remarques concernant le client Linux• Le client Linux Host IPS 8.0 n'est pas compatible avec SELinux en mode d'application. Pour

désactiver le mode d'application, exécutez la commande : system-config-securitylevel, modifiezle paramètre pour le désactiver et redémarrez le système client.

• Lorsque les modules de noyau Linux Host IPS 8.0 sont chargés, le noyau SUSE est signalécomme étant infecté. Le journal du noyau présente l'indicateur suivant : schook : modulenon pris en charge par Novell, définition marqueur U; hipsec: module non pris en chargepar Novell, définition de marqueur U. La configuration requise par Novell pour les modulestiers est à l'origine de l'indication d'infection du noyau Host IPS. Les modules de noyau LinuxHost IPS 8.0 sont sous Licence Publique Générale (GPL) : ce message doit donc être ignoré.McAfee et Novell travaillent ensemble à la résolution de ce problème.

Dépannage du client LinuxSi un problème survient au moment de l'installation ou de la désinstallation du client, plusieurséléments doivent être examinés. On peut notamment s'assurer que tous les fichiers nécessairesont été installés dans le bon répertoire, désinstaller puis réinstaller le client et vérifier les journauxde processus. En outre, vous pouvez rencontrer des problèmes avec le fonctionnement duclient. Vérifiez que le client est bien en cours d'exécution, arrêtez-le puis redémarrez-le.

Le client Linux ne possède pas d'interface utilisateur pour le dépannage des problèmes liés àson fonctionnement. Il propose un outil de dépannage de ligne de commande, hipts, situé dansle répertoire opt/McAfee/hip. Pour utiliser cet outil, vous devez donner le mot de passe du client



Host Intrusion Prevention. Utilisez le mot de passe par défaut du client (abcde12345) ou envoyezune stratégie d'interface utilisateur du client avec un mot de passe administrateur ou un motde passe à validité limitée défini avec la stratégie et utilisez-le.

L'outil de dépannage permet :

• d'indiquer les paramètres de journalisation et le statut du moteur du client ;

• d'activer et de désactiver la journalisation des messages ;

• d'activer et de désactiver les moteurs.

Connectez-vous en tant qu'administrateur et exécutez les commandes d'aide au dépannageci-dessous :

Exécutez...Pour...

hipts statusObtenir l'état actuel du client indiquant quel type dejournalisation est activé et quels moteurs sont en coursd'exécution.

hipts logging onActiver la journalisation de types de messages spécifiques.

hipts logging offDésactiver la journalisation de tous les types de messages.La journalisation est désactivée par défaut.

hipts message <message name>:onAfficher le type de message indiqué lorsque lajournalisation est activée. Ces messages comprennent :

• error

• warning

• debug

• info

• violations

hipts message <message name>:offMasquer le type de message indiqué lorsque lajournalisation est activée. L'erreur de message estdésactivée par défaut.

hipts message all:onAfficher tous les types de message lorsque la journalisationest activée.

hipts message all:offMasquer tous les types de message lorsque lajournalisation est activée.

hipts engines <engine name>:onActiver le moteur indiqué. Le moteur est activé par défaut.Les moteurs comprennent :

• MISC

• FILES

• HTTP

hipts engines <engine name>:offDésactiver le moteur indiqué.

hipts engines all:onActiver tous les moteurs.

hipts engines all:offDésactiver tous les moteurs.

CONSEIL : outre l'utilisation de l'outil de dépannage, consultez les fichiers HIPShield.log etHIPClient.log dans le répertoire McAfee/hip/log pour vérifier les opérations ou effectuer le suivides problèmes.



Vérification des fichiers d'installation LinuxAprès une installation, vérifiez que tous les fichiers ont été installés dans le bon répertoire duclient. Le répertoire opt/McAfee/hip doit contenir les fichiers et répertoires essentiels mentionnésci-dessous :

DescriptionNom du fichier

Client LinuxHipClient ; HipClient-bin

Règles de stratégieHipClientPolicy.xml

Outil de dépannagehipts ; hipts-bin

Host Intrusion Prevention et modules d'objets partagés de McAfeeAgent

*.so

Contient des fichiers journaux d'erreurs et de débogageRépertoire log

L'historique d'installation est consigné dans /opt/McAfee/etc/hip-install.log. Reportez-vous à cefichier pour toute question concernant le processus d'installation ou de suppression du clientHost Intrusion Prevention.

Vérification de l'exécution du client LinuxSi le client ne s'affiche pas sur la console ePO, par exemple, vérifiez qu'il est en cours d'exécution.Pour ce faire, exécutez la commande :ps –ef | grep Hip

Arrêt du client LinuxDans le cadre d'un dépannage, vous pourriez être amené à arrêter un client en cours d'exécutionpuis à le redémarrer.

Tâche

1 Pour arrêter l'exécution d'un client, désactivez la protection IPS. Utilisez l'une des procéduressuivantes :

• Définissez Options IPS sur Désactivé, dans la console ePO, et appliquez la stratégieau client.

• Exécutez la commande suivante : hipts engines MISC:off

2 Exécutez la commande suivante : hipts agent off

Redémarrage du client LinuxDans le cadre d'un dépannage, vous pourriez être amené à arrêter un client en cours d'exécutionpuis à le redémarrer.

Tâche

1 Exécutez la commande suivante : hipts agent on.

2 Activez la protection IPS. Utilisez l'une des procédures suivantes, selon celle que vous avezutilisée pour arrêter le client :

• Définissez Options IPS sur Activé, dans la console ePO, et appliquez la stratégie auclient.



• Exécutez la commande suivante : hipts engines MISC:on



Annexe A : Création d'exceptions et designatures personnalisées

Cette section décrit la structure des signatures IPS, et fournit notamment une liste de classes,paramètres et directives ainsi que des informations relatives à la création de signaturespersonnalisées pour diverses plates-formes clientes. Ces informations peuvent également êtreutilisées si vous travaillez dans la page Détails avancés pour les exceptions.

Table des matières

Structure d'une règle

Signatures personnalisées Windows

Signatures personnalisées non Windows

Structure d'une règleChaque signature contient une ou plusieurs règles écrites au format ANSI Tool CommandLanguage (TCL). Chaque règle contient des sections obligatoires et facultatives, avec une sectionpar ligne. Les sections facultatives varient en fonction du système d'exploitation et de la classede la règle. Chaque section définit une catégorie de règle et sa valeur. Une section identifietoujours la classe de la règle, qui définit le comportement global de cette dernière.

La structure de base d'une règle est la suivante :

Rule {

SectionA value

SectionB value

SectionC value

...

}

REMARQUE : veillez à vérifier la syntaxe d'écriture de chaînes et de séquences d'échappementdans TCL avant de tenter d'écrire des règles personnalisées. La consultation rapide d'uneréférence standard sur TCL devrait garantir la saisie correcte des valeurs appropriées.

Une règle visant à bloquer une requête vers le serveur web et contenant « subject » dans lapartie « query » de la requête HTTP a le format suivant :

Rule {

Class Isapi

Id 4001

level 4

query { Include *subject* }


method { Include GET }

time { Include * }

Executable { Include * }

user_name { Include * }

directives isapi:request

}

Consultez les rubriques Signatures personnalisées Windows et Signatures personnalisées nonWindows pour obtenir une explication concernant les différentes sections et valeurs.

Sections communesLes sections communes d’une règle et leurs valeurs comprennent les éléments ci-dessous. Pourles sections relatives à la section class sélectionnée, consultez la section class des signaturespersonnalisées Windows ou non Windows. Les mots-clés Include et Exclude sont utilisés pourtoutes les sections, à l'exception de tag, Id, level et directives. Include signifie que la sectiontravaille sur la valeur indiquée et Exclude signifie que la section travaille sur toutes les valeurssauf sur celle qui est indiquée.

REMARQUE : tous les noms de sections sont sensibles à la casse sur toutes les plates-formes.Les valeurs des sections sont sensibles à la casse sur les plates-formes non Windows uniquement.

DescriptionValeurSection

Voir Signatures personnalisées Windows ouSignatures personnalisées non Windows.

Dépend du systèmed'exploitation. Indique la classeà laquelle cette règle s'applique.

Class

Nom de la sous-règle.Nom de la règle entre guillemets"..."

tag

Numéro d'ID unique de la signature. Les numérosdisponibles sont les mêmes que pour les règlespersonnalisées.

4000 - 5999Id

Niveau de gravité de la signature :

0 = Désactivé

0

1

level

1 = Journal2

2 = Faible3

3 = Moyen4

4 = Elevé

Utilisateurs auxquels la règle s'applique.Spécifiez des utilisateurs particuliers oul'ensemble des utilisateurs.

{Include/Exclude nom del'utilisateur ou compte système}

user_name

Remarques pour Windows :

• Pour l'utilisateur local : utiliser <nomordinateur>/<nom utilisateur local>.

• Pour l'utilisateur de domaine : utiliser <nomdomaine>/<nom utilisateur domaine>.

• Pour le système local : utiliserLocal/système.

• Certaines actions exécutées à distance neconsignent pas l'ID de l'utilisateur distantmais utilisent plutôt le service local et soncontexte utilisateur. Vous devez donc

Annexe A : Création d'exceptions et de signatures personnaliséesStructure d'une règle



prendre cet élément en compte lorsque vousdéveloppez des règles. Lorsqu'un processuss'exécute sous une session nulle, l'utilisateuret le domaine sont « anonymes ». Si unerègle s'applique à l'ensemble desutilisateurs, utilisez *. Sous UNIX, cettesection est sensible à la casse.

Chaque fichier exécutable est spécifié àl'intérieur des accolades à l'aide de -path, -hash,

{Include/Exclude le chemind'accès, l'empreinte, le signataireou la description du fichier}

Executable

-sdn, -desc. Chaque section peut contenirplusieurs accolades à l'intérieur desquellesplusieurs options peuvent figurer. Les valeurs-path (nom du chemin d'accès au fichier), -sdn(signataire du fichier) et -desc (description) sontdes chaînes et doivent subir un échappementTCL si elles contiennent des espaces ou autrescaractères réservés TCL. La valeur -hash(hachage MD5) est une chaîne hexbin de32 caractères.

Exemple : Executable {Include -path"C:\\Program Files\\McAfee\\VirusScanEnterprise\\Mcshield.exe" -sdn"CN=\"mcafee,inc.\", OU=iss, OU=digital id class3 - microsoft software validation v2,O=\"mcafee, inc.\", L=santa clara,ST=california, C=us" -desc "On-Access Scannerservice"}

Si une règle s'applique à l'ensemble des fichiersexécutables, utilisez *. Sous UNIX, cette sectionest sensible à la casse.

Les types d'opérations sont dépendants de laclasse et sont répertoriés pour chaque classe dansles sections suivantes.

type d'opérationdirectives

REMARQUE : vous pouvez créer une signature à règles multiples en ajoutant simplement unerègle après l'autre. N'oubliez pas que chaque règle d'une même signature doit avoir la mêmevaleur pour ses sections Id et level.

Utilisation des fonctions Include et Exclude

Lorsque vous définissez une valeur de section sur Include, la section travaille sur la valeurindiquée, tandis que pour la fonction Exclude, la section travaille sur l'ensemble des valeurs,sauf sur celle indiquée. Lorsque vous utilisez ces mots-clés, ils apparaissent entre accolades {... }.

REMARQUE : avec la sous-règle standard, utilisez une barre oblique inverse simple dans leschemins de fichier ; avec la sous-règle d'exportation, utilisez une double barre oblique inversepour ces chemins. La sous-règle standard transforme les barres obliques simples en doublesbarres, contrairement à la sous-règle expert.

Par exemple, pour surveiller tous les fichiers texte de C:\test\ :

files { Include C:\\test\\*.txt }

et pour surveiller tous les fichiers texte sauf ceux de C:\test\ :

files { Exclude C:\\test\\*.txt }



Combinez les mots-clés pour exclure des valeurs d'un ensemble de valeurs associées. Poursurveiller tous les fichiers texte du dossier C:\test\, sauf le fichier abc.txt :


files { Exclude C:\\test\\abc.txt }

Chaque fois que vous ajoutez la même section avec le même mot-clé, vous ajoutez une opération.Pour surveiller tout fichier texte du dossier C:\test\ dont le nom commence par la chaîne « abc » :


files { Include C:\\test\\abc* }

REMARQUE : Exclude l'emporte sur Include dans l'ordre de priorité. Voici trois exemples :

• Si une seule sous-règle inclut un utilisateur particulier marketing\jjohns et exclut le mêmeutilisateur marketing\jjohns, la signature ne se déclenche pas même lorsque l'utilisateurmarketing\jjohns exécute une action déclenchant la signature.

• Si une sous-règle inclut tous les utilisateurs mais exclut l'utilisateur marketing\jjohns enparticulier, la signature ne se déclenche que si l'utilisateur n'est PAS marketing\jjohns.

• Si une sous-règle inclut l'utilisateur marketing\* mais exclut marketing\jjohns, la signaturene se déclenche que si l'utilisateur est marketing\xxxxx, à moins que l'utilisateur ne soitmarketing\jjohns, auquel cas la signature ne se déclenche pas.

Sections communes facultativesLes sections facultatives d'une règle et leurs valeurs comprennent l'élément ci-dessous. Pourles sections facultatives relatives à la section class sélectionnée, consultez la section class dessignatures personnalisées Windows et non Windows. Les mots-clés Include et Exclude sontutilisés pour les dépendances et les attributs. Include signifie que la section travaille sur lavaleur indiquée et Exclude signifie que la section travaille sur toutes les valeurs sauf sur cellequi est indiquée.


Définit les dépendances entre les règles et bloquele déclenchement de règles dépendantes.

{Include/ Exclude "ID de règle"}dependencies

Les événements de la signature ne sont pasenvoyés au serveur ePO.

—no_logattributes

Aucune exception n'est générée pour la signaturelorsque le mode adaptatif est appliqué.

—not_auditable

La liste des applications approuvées ne s'appliquepas à cette signature.

—no_trusted_apps

La signature est désactivée.—inactive

Utilisation de la section dependencies

Ajoutez la section facultative dependencies pour empêcher qu'une règle plus générale ne sedéclenche en même temps qu'une règle plus spécifique. Par exemple, si une règle est définiepour surveiller un seul fichier texte dans C:\test\

files { Include C:\\test\\abc.txt }

et une autre définie pour surveiller tous les fichiers texte dans C:\test\




Ajoutez la section dependencies à la règle plus spécifique, ce qui commandera au système dene pas déclencher la règle plus générale lors du déclenchement de la règle spécifique.

files { Include C:\\test\\abc.txt }

dependencies “the general rule”

Caractères génériques et variablesLes caractères génériques, les métasymboles et les variables prédéfinies peuvent être utilisésen tant que valeurs dans les sections disponibles.

Caractères génériques

Vous pouvez utiliser des caractères génériques pour les valeurs de section. L'utilisation desastérisques dans les chemins d'accès et adresses est légèrement différente : ils contiennenthabituellement des barres obliques et des barres obliques inverses. Pour les sous-règles expertdes signatures, le jeu de caractères génériques TCL est utilisé.

Tableau 21 : Caractères génériquesCe qu'il représenteCaractère


Plusieurs caractères, y compris / et \.

REMARQUE : pour les chemins d'accès et les adresses,utilisez ** (deux astérisques) pour inclure / et \ ; utilisez* (astérisque) pour exclure / et \.

* (astérisque)


Tableau 22 : Caractères génériques TCLCe qu'il représenteCaractère


Plusieurs caractères, y compris / et \. Exemple : files {Include “C:\*.txt” ” }

* (astérisque)

Plusieurs caractères, sauf / et \. À utiliser pour représenterle contenu au niveau racine d'un dossier, mais pas des

& (esperluette)

sous-dossiers. Exemple : files { Include “C:\test\\&.txt”}

Caractère générique d'échappement. Exemple : files {Include “C:\test\\yahoo!.txt” }

! (point d’exclamation)

Utilisation des variables d'environnement

Utilisez les variables d'environnement, c'est-à-dire la commande iEnv suivie d'un seul paramètre(le nom de la variable) entre crochets [ ... ], pour abréger les noms de fichiers et de cheminsde répertoire Windows.

Ce qu'elle représenteVariable d'environnement

C:\winnt\, où C représente le lecteur contenant le dossiersystème Windows. Exemple : files {Include [iEnvSystemRoot]\\system32\\abc.txt }

iEnv SystemRoot



Ce qu'elle représenteVariable d'environnement

C:\, où C représente le lecteur contenant le dossiersystème Windows. Exemple : files {Include [iEnvSystemDrive]\\system32\\abc.txt}

iEnv SystemDrive

Utilisation des variables prédéfinies

Host Intrusion Prevention propose des variables prédéfinies pour l'écriture des règles. Cesvariables sont précédées d'un « $ » et sont répertoriées ci-dessous.

Tableau 23 : Serveur web IIS WindowsDescriptionVariable

Répertoire où se situe inetinfo.exeIIS_BinDir

Nom d'ordinateur sur lequel IIS est exécutéIIS_Computer

Inclut tous les fichiers auxquels IIS a accèsIIS_Envelope

Répertoires virtuels permettant l'exécution de fichiers, ycompris les racines système et IIS

IIS_Exe_Dirs

Répertoires racine du site FTPIIS_Ftp_Dir

Nom du compte d'utilisateur anonyme FTP localIIS_FTP_USR

Répertoire de fichiers journaux FTPIIS_FtpLogDir

Nom du compte d'utilisateur anonyme Web localIIS_IUSR

Nom du compte d'utilisateur anonyme Web de domaineIIS_IUSRD

Nom du compte utilisateur du Gestionnaire d'applicationsweb IIS

IIS_IWAM

Répertoire de fichiers journaux webIIS_LogFileDir

Tous les répertoires virtuels IISIIS_LVirt_Root

Processus ayant des droits d'accès aux ressources IISIIS_Processes

Tous les services nécessaires au fonctionnement correctd'IIS

IIS_Services

Tableau 24 : Serveur de base de données MS SQLDescriptionVariable

Répertoires accessibles tels que \WINNT et\WINNT\System32

MSSQL_Allowed_Access_Paths

Répertoires exécutables tels que \WINNT et\WINNT\System32

MSSQL_Allowed_Execution_Paths

Répertoires modifiables tels que \WINNT\TempMSSQL_Allowed_Modification_Paths

Services MS SQL auxiliaires détectés sur le systèmeMSSQL_Auxiliary_Services

Services MS SQL principaux détectés sur le systèmeMSSQL_Core_Services

Tous les autres fichiers de données associés à MS SQLsusceptibles de se trouver en dehors du répertoireMSSQL_DataRoot_Path

MSSQL_Data_Paths

Chemin d'accès aux fichiers de données MS SQL pourchaque instance

MSSQL_DataRoot_Paths

Nom de chaque instance MS SQL installéeMSSQL_Instances



DescriptionVariable

Tous les emplacements du Registre associés à MS SQLMSSQL_Registry_Paths

Tableau 25 : Unix Apache et iPlanetDescriptionVariable

Chemin d'accès aux fichiers binaires ApacheUAPACHE_Bins

Chemin d'accès aux racines CGIUAPACHE_CgiRoots

Répertoires contenant les fichiers de configuration ApacheUAPACHE_ConfDirs

Chemin d'accès aux racines du documentUAPACHE_DocRoots

Fichiers journaux ApacheUAPACHE_Logs

Répertoire des fichiers journauxUAPACHE_Logs_dir

Racines web ApacheUAPACHE_Roots

Utilisateurs qu'Apache exécute en tant queUAPACHE_Users

Chemin d'accès aux racines CGI des serveurs virtuelsUAPACHE_VcgiRoots

Racines du document virtuelUAPACHE_VdocRoots

Fichiers journaux des serveurs virtuelsUAPACHE_Vlogs

Répertoires pour les fichiers journaux des serveurs virtuelsUAPACHE_Vlogs_dir

Chemin d'accès aux fichiers binaires iPlanetUIPLANET_BinDirs

Chemin d'accès aux répertoires CGIUIPLANET_CgiDirs

Chemins d'accès aux répertoires du documentUIPLANET_DocDirs

Chemin d'accès aux fichiers binaires ns-httpd iPlanetUIPLANET_Process

Chemin d'accès à la racine iPlanetUIPLANET_Roots

Signatures personnalisées WindowsCette section décrit la méthode d'écriture de signatures personnalisées pour la plate-formeWindows.

REMARQUE : les règles classe Files de Windows utilisent une double barre oblique inverse pourles chemins d'accès alors que les règles classe UNIX_file non Windows utilisent une simple barreoblique.

La classe d'une signature dépend de la nature du problème de sécurité et de la protectionofferte par la signature. Certaines des classes et paramètres apparaissent dans l'interfaceutilisateur de signature personnalisée, d'autres non. Les classes et paramètres sans interfaceutilisateur appellent l'utilisation de la méthode expert pour la création de règles, qui constituele seul moyen d'y accéder. Sous Windows, les classes suivantes sont disponibles :

Conditions d'utilisationClasse

Pour la protection contre un Buffer OverflowBuffer Overflow

Pour la protection des opérations de fichier ou derépertoire

Files

Pour la protection de l'accrochage des processus d'APIHook

Annexe A : Création d'exceptions et de signatures personnaliséesSignatures personnalisées Windows



Pour la protection contre l'utilisation illicite de l'API HostIPS

Illegal API Use

Pour la protection contre l'utilisation illicite de l'APIIllegal Use

Pour la surveillance des requêtes HTTP transmises à IISIsapi

Pour la protection des opérations de programmeProgram

Pour la protection des opérations de clé et de valeur deRegistre

Registry

Pour la protection des opérations de serviceServices

Pour la protection des opérations SQLSQL

Classe Windows Buffer OverflowLe tableau suivant répertorie les sections et valeurs disponibles pour la classe Windows BufferOverflow :

RemarquesValeursSection

Buffer_OverflowClass

Voir Sections communes.Id

level

time

user_name

Executable

Facultatif. Voir la note 1.428dependencies

Chemin d'accès à un module(c.-à-d. un fichier DLL) chargé

caller module

par un exécutable qui effectueun appel causant un BufferOverflow

Examine l'emplacement de la mémoire en coursd'exécution et détermine si ce dernier est exécuté

bo:stackdirectives

à partir de la mémoire inscriptible faisant partiede la pile actuelle du thread.


bo:heap

à partir de la mémoire inscriptible faisant partied'un tas.


bo:writeable_memory

à partir de la mémoire inscriptible ne faisant nipartie de la pile actuelle du thread, ni d'un tas.

Vérifie que l'API est appelée à partir d'uneinstruction d'appel correcte.

bo:invalid_call

Chaîne hexadécimale représentant 32 octetsd'instructions qui peuvent être utilisés pour créer

bo:target_bytes

une exception ciblée pour un faux positif sans




jamais désactiver le Buffer Overflow pendant toutela durée du processus.

Vérifie que la séquence de code précédantl'adresse de l'expéditeur n'est pas un appel.

bo:call_not_found

Vérifie que l'adresse de l'expéditeur ne se trouvepas dans la mémoire lisible.

bo:call_return_unreadable

Vérifie que la cible de l'appel ne correspond pasà la cible accrochée.

bo:call_different_target_address

Vérifie que l'adresse de l'expéditeur correspondau point d'entrée de l'API.

bo:call_return_to_api

Note 1

La signature 428, Generic Buffer Overflow, est une règle de Buffer Overflow générique. Pourbloquer le déclenchement de cette règle, incluez la section « dependencies 428 » dans lasignature personnalisée.

Class Files WindowsLe tableau suivant répertorie les sections et valeurs disponibles pour la classe Windows Files :


FilesClass


level

time

user_name

Executable (Utilisez ce paramètrepour différencier l'accès aufichier local ou distant. Voir lanote 3.)

L'un des paramètres requis. Voir les notes 1 et 2.Fichier ou dossier utilisé dansl'opération

files

L'un des paramètres requis. Utilisé uniquementavec files:rename et files:hardlink. Voir les notes 1et 2.

Fichiers de destination, sil'opération utilise des fichierssource et de destination

dest_file

Permet la création de règles class Files spécifiquesaux types de lecteurs.

drive_type • Network : accès fichierréseau

• Floppy : accès lecteur dedisquettes

• CD : accès CD ou DVD

• OtherRemovable : accèslecteur USB ou autre lecteuramovible

• OtherFixed : accès disquedur local ou autre disque durfixe




Crée un fichier dans un répertoire ou déplace unfichier dans un autre répertoire.

files:createdirectives

Ouvre le fichier avec accès en lecture seule.files:read

Ouvre le fichier avec accès en lecture/écriture.files:write

Exécute le fichier (exécuter un répertoire signifieque ce répertoire devient le répertoire courant).

files:execute

Supprime le fichier d'un répertoire ou le déplacevers un autre répertoire.

files:delete

Renomme un fichier dans le même répertoire.Voir la note 2.

files:rename

Modifie les attributs d'un fichier. Les attributssurveillés comprennent :

files:attribute

• read-only

• hidden

• archive

• system

Crée un lien physique.files:hardlink

Note 1

Si la section files est utilisée, le chemin d'accès à un dossier ou à un fichier surveillé peut êtrele chemin d'accès complet ou un caractère générique. Par exemple, voici quelques cheminsd'accès valides :

files { Include “C:\\test\\abc.txt” }

files { Include “*\\test\\abc.txt” }

files { Include “*\\abc.txt” }

Si la section dest_file est utilisée, le chemin d'accès absolu ne peut pas être utilisé et il estnécessaire de placer un caractère générique en début de chemin pour représenter le lecteur.Par exemple, voici quelques chemins d'accès valides :

dest_file { Include “*\\test\\abc.txt” }

dest_file { Include “*\\abc.txt” }

Note 2

La directive files:rename prend une signification différente lorsqu'elle est associée aux sectionsfiles et dest_file.

Lorsqu'elle est associée à la section files, cela signifie que le changement de nom d'un fichierdans cette section est surveillé. Par exemple, la règle suivante surveille le changement de nomdu fichier C:\test\abc.txt en tout autre nom :

Rule {

tag "Sample1"

Class Files

Id 4001

level 4




Executable { Include “*”}

user_name { Include “*” }

directives files:rename

}

Lorsqu'elle est associée à la section dest_file, cela signifie qu'aucun fichier ne pourra êtrerenommé avec le nom d'un fichier de cette section. Par exemple, la règle suivante surveille leremplacement du nom de tout fichier par C:\test\abc.txt :

Rule {

tag "Sample2"

Class Files

Id 4001

level 4

dest_file { Include “*\\test\\abc.txt” }



directives files:rename

}

La section files n'est pas obligatoire lorsque la section dest_file est utilisée. Si la section filesest utilisée, les sections files et dest_file doivent correspondre.

Note 3

Pour qu'une directive différencie l'accès au fichier distant et local, définissez le chemin d'accèsdu fichier exécutable sur « SystemRemoteClient » : Executable { Include -path “SystemRemoteClient”}

Cela permet de bloquer l'exécution d'une directive lorsque l'exécutable n'est pas un fichier local.

Détails avancés

Tous ou seulement quelques-uns des paramètres suivants apparaissent dans l'onglet Détailsavancés des événements de sécurité pour la classe Files. Les valeurs de ces paramètres peuventvous aider à comprendre le déclenchement d'une signature.

ExplicationNom IUG

Nom du fichier auquel vous avez eu accèsfiles

Applicable uniquement pour le changement de nom defichier. Nouveau nom du fichier.

dest_file

La règle suivante empêche toute personne et tout processus de créer le fichier abc.txt dans ledossier C:\test\.

Rule {

tag "Sample3"

Class Files

Id 4001

level 4






directives files:create

}

Les diverses sections de cette règle ont les significations suivantes :

• Class Files : indique que la règle est associée à la classe des opérations de fichiers.

• Id 4001 : affecte l'ID 4001 à cette règle. Si la signature personnalisée contient plusieursrègles, chacune de ces règles doit utiliser le même ID.

• level 4 : affecte un niveau de gravité « élevé » à cette règle. Si la signature personnaliséecontient plusieurs règles, chacune de ces règles doit avoir le même niveau de gravité.

• files { Include “C:\\test\\abc.txt” } : indique que la règle couvre le fichier et le cheminspécifiques C:\test\abc.txt. Si la règle couvre plusieurs fichiers, ajoutez-les dans cette sectionsur différentes lignes. Par exemple, lors de la surveillance des fichiers C:\test\abc.txt etC:\test\xyz.txt, la section est modifiée comme suit : files { Include “C:\\test\\abc.txt”“C:\\test\\xyz.txt” }.

• Executable { Include “*”} : indique que cette règle est valide pour l'ensemble des processus.Si vous souhaitez limiter votre règle à des processus spécifiques, ajoutez-les en entier danscette section, avec le nom de chemin.

• user_name { Include “*” } : indique que cette règle est valide pour l'ensemble des utilisateurs(ou, plus précisément, pour le contexte de sécurité dans lequel un processus est exécuté).Si vous souhaitez limiter votre règle à des contextes utilisateurs spécifiques, ajoutez-les danscette section sous la forme Local/utilisateur ou Domaine/utilisateur. Voir Sections communespour plus d'informations.

• directives files:create : indique que cette règle couvre la création d'un fichier.

Classe Windows HookLe tableau suivant répertorie les sections et valeurs disponibles pour la classe Windows Hook :


HookClass


level

time

user_name

Executable

Paramètre requis.Chemin d'accès de l'exécutableaccroché par un autreexécutable.

module de gestion

Pour empêcher l'injection d'un fichier DLL dansun exécutable lors de l'utilisation de

hook:set_windows_hookdirectives

hook:set_windows_hook, incluez l'exécutable dansla liste de protection des applications.



Classe Windows Illegal API Use (Host IPS)Le tableau suivant répertorie les sections et valeurs disponibles pour la classe Windows IllegalAPI Use :


Illegal_API_UseClass


level

time

user_name

Executable

Nom de la vulnérabilitévulnerability_name

Il s'agit d'un numéro 128 bits qui représente unID unique de composant logiciel. Il s'affiche

Un ou plusieurs CLSID.detailed_event_info

généralement comme suit :"{FAC7A6FB-0127-4F06-9892-8D2FC56E3F76}"

illegal_api_use:bad_parameterdirectives

illegal_api_use:invalid_call

Utilisez cette classe pour créer une signature killbit personnalisée. Le killbit est une fonctionnde sécurité des navigateurs web et autres applications utilisant ActiveX. Un killbit spécifiel'identificateur de classe d'objet (CLSID) des contrôles logiciels ActiveX identifiés comme menacesde sécurité. Les applications utilisant ActiveX ne chargent pas le logiciel ActiveX spécifié avecun killbit correspondant en place.

Le principal objectif d'un killbit est de colmater les brèches de sécurité. Les mises à jour dekillbits sont habituellement déployées sur les systèmes d'exploitation Microsoft Windows via lesmises à jour de sécurité pour Windows.

Voici un exemple de signature :

Rule {

tag "Sample4"

Class Illegal_API_Use

Id 4001

level 4



vulnerability_name {Include "Vulnerable ActiveX Control Loading ?"}

detailed_event_info { Include"0002E533-0000-0000-C000-000000000046"\"0002E511-0000-0000-C000-000000000046"}

directives files:illegal_api_use:bad_parameter illegal_api_use:invalid_call

attributes -not_auditable

}



Classe Windows Illegal UseLe tableau suivant répertorie les sections et valeurs disponibles pour la classe Windows IllegalUse :


Illegal_UseClass


level

time

user_name

Executable

L'une des trois valeurssuivantes : LsarLookupNames,

name

LsarLookupSids ouADMCOMConnect

illegal:apidirectives

Classe Windows Isapi (HTTP)Le tableau suivant répertorie les sections et valeurs disponibles pour la classe Windows Isapiavec IIS :


IsapiClass


level

time

user_name

Executable

L'un des paramètres requis. Comparée à la partieURL d'une requête entrante. Voir les notes 1 à 4.

url

L'un des paramètres requis. Comparée à la partiequery d'une requête entrante. Voir les notes 1 à4.

query

L'un des paramètres requis. Voir la note 4.GET, POST, INDEX ou touteautre méthode HTTP autorisée.

method

Pour les trois types de requêtes HTTP entrantes.isapi:requestdirectives

Pour les demandes d'URL.isapi:requrl

Pour les demandes de requêtes.isapi:reqquery

Pour les demandes de données brutes.isapi:rawdata

Pour la réponse à la demande.isapi:response



Note 1

Une requête HTTP entrante peut être représentée comme suit : http://www.myserver.com/{url}?{query}. Dans ce document, nous faisons référence à {url} comme la partie « URL » dela requête HTTP et à {query} comme la partie « query » de cette dernière. Grâce à cetteconvention de nommage, la section « URL » est comparée à {url} et la section « query » à{query}. Par exemple, la règle suivante est déclenchée si la requête HTTP http://www.myserver.com/search/abc.exe?subject=wildlife&environment=ocean est reçue par IIS :

Rule {

tag "Sample6"

Class Isapi

Id 4001

level 1

url { Include “*abc*” }




}

Cette règle se déclenche car {url}=/search/abc.exe, ce qui correspond à la valeur de la section« url » (c.-à-d. abc).

Note 2

Avant la comparaison, les sections « url » et « query » sont décodées et normalisées afin qu'ilsoit impossible de compléter des requêtes par du code ou des séquences d'échappement.

Note 3

Une longueur maximum peut être définie pour les sections « url » et « query ». En ajoutant« ;number-of-chars » à la valeur de ces sections, la correspondance de la règle s'effectuerauniquement si {url} ou {query} comporte plus de caractères que « number-of-chars ». Parexemple, « abc*;500 » correspond aux chaînes contenant « abc » et comportant plus de500 caractères ; « *abc;xyz*; » correspond à toute chaîne contenant « abc;xyz »indépendamment de sa longueur.

Note 4

Une règle doit contenir au moins l'une des sections facultatives suivantes : url, query ou method.

Détails avancés

Tous ou seulement quelques-uns des paramètres suivants apparaissent dans l'onglet Détailsavancés des événements de sécurité pour la classe Isapi. Les valeurs de ces paramètres peuventvous aider à comprendre le déclenchement d'une signature.

ExplicationNom IUG

Partie location décodée et normalisée d'une requête HTTPentrante (avant le « ? »).

url

Partie query décodée et normalisée d'une requête HTTPentrante (après le premier « ? »).

query

Type et version de l'application de serveur web utilisée.web server type



ExplicationNom IUG

Méthode de la requête HTTP entrante (telles que Get, Put,Post et Query).

method

Nom physique du fichier récupéré ou en tentative derécupération par la requête. Décodé et normalisé sous IIS.

local file

Ligne de requête « brute » (non décodée et nonnormalisée) de la requête HTTP entrante. La ligne de

raw url

requête est « <method> <location[?query]> <httpversion> CRLF ».

Nom d'utilisateur du client à l'origine de la requête ;disponible uniquement si la requête est authentifiée.

user

Nom du client ou adresse IP de l'ordinateur d'origine dela requête HTTP. L'adresse se compose de trois parties :nom d'hôte: adresse: numéro de port.

source

Informations sur le serveur web sur lequel l'événement aété créé (ordinateur sur lequel le client est installé),

server

présentées comme suit : <nom d'hôte>:<adresseIP>:<port>. Le nom d'hôte est la variable hôte de l'en-têteHTTP (le champ est laissé vide si elle n'est pas disponible).

Nombre d'octets dans le corps du message de la requête.content len

La règle suivante vise à bloquer une requête vers le serveur web qui contient « subject » dansla partie « query » de la requête HTTP :

Rule {

tag "Sample7"

Class Isapi

Id 4001

level 1

query { Include “*subject*” }

method { Include “GET” }




}

Par exemple, la requête GET http://www.myserver.com/test/abc.exe?subject=wildlife&environment=ocean serait bloquée par cette règle.


• Class Isapi : indique que la règle est associée à la classe des opérations Isapi.



• query { Include “*subject*” } : indique que la règle correspond à toute requête (GET)contenant la chaîne « subject » dans la partie query de la requête HTTP. Si la règle couvreplusieurs fichiers de la partie query, ajoutez-les dans cette section sur différentes lignes.



• method { Include “GET” } : indique que la règle peut uniquement correspondre aux requêtesGET.

• Executable { Include “*”} : indique que cette règle est valide pour l'ensemble des processus.Si vous souhaitez limiter votre règle à des processus spécifiques, ajoutez-les en entier danscette section, avec le nom de chemin.


• directives isapi:request : indique que cette règle couvre une requête HTTP.

Classe Windows ProgramLe tableau suivant répertorie les sections et valeurs disponibles pour la classe Windows Program :


ProgramClass


level

time

user_name

Executable

L'un des paramètres requis.Nom du processus utilisé lors del'opération.

filename

L'un des paramètres requis.Chemin d'accès du processus.path

Sélectionnez cet élément pour empêcherl'exécution d'un fichier exécutable de destination.

program:rundirectives

(Exécuter le fichier exécutable de destination,dans l'interface utilisateur.)

Les directives « program:open_with_x » gèrentles droits d'accès aux processus créés à l'aide

program:open_with_any

d'OpenProcess(). Sélectionnez cet élément pourbloquer les droits d'accès spécifiques à cesprocessus :

• PROCESS_TERMINATE : requis pour mettrefin à un processus.

• PROCESS_CREATE_THREAD : requis pourcréer un thread.

• PROCESS_VM_WRITE : requis pour écriredans la mémoire.

• PROCESS_DUP_HANDLE : requis pourdupliquer un descripteur.

• PROCESS_SET_INFORMATION : requis pourdéfinir certaines informations relatives à unprocessus, telles que sa classe de priorité.

• PROCESS_SUSPEND_RESUME : requis poursuspendre ou reprendre un processus.





• SYNCHRONIZE : requis pour attendre l'arrêtdu processus.

(Ouvrir via un accès quelconque, dans l'interfaceutilisateur.)

Sélectionnez cet élément pour bloquer le droitd'accès spécifique au processus :

program:open_with_create_thread


(Ouvrir via un accès à des fins de création dethread, dans l'interface utilisateur.)

Sélectionnez cet élément pour bloquer les droitsd'accès spécifiques à ces processus :

program:open_with_modify



• PROCESS_VM_WRITE : requis pour écriredans la mémoire.

• PROCESS_DUP_HANDLE : requis pourdupliquer un descripteur.

• PROCESS_SET_INFORMATION : requis pourdéfinir certaines informations relatives à unprocessus, telles que sa classe de priorité.


(Ouvrir via un accès à des fins de modification,dans l'interface utilisateur.)

Sélectionnez cet élément pour bloquer les droitsd'accès spécifiques à ces processus :

program:open_with_terminate



(Ouvrir via un accès à des fins d'arrêt, dansl'interface utilisateur.)

Sélectionnez cet élément pour bloquer les droitsd'accès spécifiques à ce processus :

program:open_with_wait

• SYNCHRONIZE : requis pour attendre l'arrêtdu processus.

(Ouvrir via un accès à des fins de mise en attente,dans l'interface utilisateur.)

REMARQUE : non disponible sur les plates-formesMicrosoft Vista et ultérieures.

Classe Windows RegistryLe tableau suivant répertorie les sections et valeurs disponibles pour la classe Windows Registry :




RegistryClass


level

time

user_name

Executable

L'un des paramètres requis. Utilisez cet élémentavec les opérations de clé (create, delete, rename,

Opération de clé de Registrekeys

enumerate, monitor, restore, read, replace, load).Voir la note 1.

Facultatif. Uniquement pour registry:renamelorsqu'une clé est renommée. La cible est le nomde la clé.

Opération de clé de Registredest_keys

L'un des paramètres requis. Utilisez cet élémentavec les opérations de valeur de Registre (delete,read, modify, create).

Opération de valeur de clé deRegistre

values

Facultatif. Uniquement pour registry:modify ouregistry:create. Voir la note 2.

Opération de valeur de clé deRegistre. Nouvelles données dela valeur.

new_data

Supprime une clé ou une valeur de Registre.registry:deletedirectives

Modifie le contenu d'une valeur de Registre ou lesinformations d'une clé de Registre.

registry:modify

Autorise la création d'une clé de Registre.registry:create

Modifie les autorisations d'accès à une clé deRegistre.

registry:permissions

Permet d'obtenir des informations sur une clé deRegistre (nombre de sous-clés, etc.) ou le contenud'une valeur de Registre.

registry:read

Énumère une clé de Registre, c'est-à-dire la listede toutes ses sous-clés et valeurs.

registry:enumerate

Demande le contrôle d'une clé de Registre.registry:monitor

Restaure une ruche à partir d'un fichier, commela fonction de restauration regedit32.

registry:restore

Restaure un paramètre de Registre maisuniquement après redémarrage.

registry:replace

Charge les clés ou les valeurs de Registre à partird'un fichier.

registry:load

Ouvre une clé de Registre existante.registry:open_existing_key

Renomme une clé de Registre.registry:rename

Note 1

HKEY_LOCAL_MACHINE, dans un chemin de Registre, est remplacé par \REGISTRY\MACHINE\et CurrentControlSet par ControlSet. Par exemple, la valeur de Registre « abc » dans la clé de



Registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa apparaît comme suit :\REGISTRY\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc.

Note 2

Les données de la section new data doivent être des valeurs hexadécimales. Par exemple, lesdonnées « def » de la valeur de Registre“\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\abc” doivent apparaîtrecomme suit : old_data { Include “%64%65%66”}.

Détails avancés

Tous ou seulement quelques-uns des paramètres suivants apparaissent dans l'onglet Détailsavancés des événements de sécurité pour la classe Registry. Les valeurs de ces paramètrespeuvent vous aider à comprendre le déclenchement d'une signature.

ExplicationNom IUG

Nom de la clé de Registre affectée, y compris le nom de chemin. Remarque :

Utiliser cette syntaxePour cette clé

Registry Key

\REGISTRY\MACHINE\HKEY_LOCAL_MACHINE\

\REGISTRY\CURRENT_USER\HKEY_CURRENT_USER\

\REGISTRY\MACHINE\SOFTWARE\CLASSES\HKEY_CLASSES_ROOT\

REGISTRY\MACHINE\SYSTEM\ControlSet\HARDWAREPROFILES\0001\

HKEY_CURRENT_CONFIG\

\REGISTRY\USER\HKEY_USERS\

Nom de la valeur de Registre concaténée avec le nom de clé complet. Remarque :

Utiliser cette syntaxePour les valeurs de cette clé

Registry Values

\REGISTRY\MACHINE\Test\*HKEY_LOCAL_MACHINE\Test

\REGISTRY\CURRENT_USER\Test\*HKEY_CURRENT_USER\Test

\REGISTRY\MACHINE\SOFTWARE\CLASSES\Test\*HKEY_CLASSES_ROOT\Test

REGISTRY\MACHINE\SYSTEM\ControlSet\HARDWAREPROFILES\0001\Test\*

HKEY_CURRENT_CONFIG\Test

\REGISTRY\USER\Test\*HKEY_USERS\Test

Applicable uniquement pour les modifications de valeurs de Registre : données d'une valeurde Registre avant toute modification ou tentative de modification.

old data

Applicable uniquement pour les modifications de valeurs de Registre : données d'une valeurde Registre après modification réelle ou inachevée.

new data

Applicable uniquement pour les modifications de valeurs de Registre : type de données d'unevaleur de Registre avant toute modification ou tentative de modification.

old data type

Applicable uniquement pour les modifications de valeurs de Registre : type de données d'unevaleur de Registre après modification réelle ou inachevée.

new data type

La règle suivante vise à empêcher toute personne ou tout processus de supprimer la valeur deRegistre « abc » dans la clé de Registre« \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa ».



Rule {

tag "Sample8"

Class Registry

Id 4001

level 4

values { Include “\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc” }

application { Include “*”}


directives registry:delete

}


• Class Registry : indique que cette règle est associée aux requêtes envoyées à IIS.



• values { Include “\\REGISTRY\\MACHINE\SYSTEM\\ControlSet\\Control\\Lsa\\abc” } : indiqueque la règle surveille la valeur de Registre abc dans la clé de Registre« \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa ». Si la règle couvreplusieurs valeurs, ajoutez-les dans cette section sur différentes lignes.

• application { Include “*”} : indique que cette règle est valide pour l'ensemble des processus.Si vous souhaitez limiter votre règle à des processus spécifiques, ajoutez-les en entier danscette section, avec le nom de chemin.


• directives registry:delete : indique que cette règle couvre la suppression d'une clé ou valeurde Registre.

Class Services WindowsLe tableau suivant répertorie les sections et valeurs disponibles pour la classe Windows Services :


RegistryClass


level

time

user_name

Executable




L'un des paramètres requis. Le nom d'un servicese trouve dans le Registre sous

Nom du service représentantl'objet de l'opération créatrice del'instance

services

HKLM\SYSTEM\CurrentControlSet\Services\. Voirla note 1.

L'un des paramètres requis. Ce nom apparaît dansle gestionnaire des services. Voir la note 1.

Nom d'affichage du servicedisplay_names

Supprime un service.services:deletedirectives

Crée un service.services:create

Démarre un service.services:start

Arrête un service.services:stop

Suspend un service.services:pause

Reprend un service après suspension.services:continue

Modifie le mode de démarrage d'un service.services:startup

Active un profil matériel.services:profile_enable

Désactive un profil matériel.services:profile_disable

Modifie les informations de connexion d'un serviceservices:logon

Note 1

La section service doit contenir le nom du service de la clé de Registre correspondante sousHKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.

La section display_names doit contenir le nom d'affichage du service, qui apparaît dans legestionnaire des services et qui se trouve dans la valeur de RegistreHKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<nom du service>\.

Détails avancés

Tous ou seulement quelques-uns des paramètres suivants apparaissent dans l'onglet Détailsavancés des événements de sécurité pour la classe Services. Les valeurs de ces paramètrespeuvent vous aider à comprendre le déclenchement d'une signature.

Valeurs possiblesExplicationNom IUG

Nom du service Windows affichédans le gestionnaire desservices.

display names

Nom du système du serviceWindows dans

services

HKLM\CurrentControlSet\Services\.Ce nom peut être différent decelui qui s'affiche dans legestionnaire des services.

Applicable uniquement audémarrage d'un service :

params

paramètres transmis au servicelors de l'activation.

Boot, System, Automatic, Manual, DisabledApplicable uniquement à lacréation ou aux modifications du

old startup

mode de démarrage d'un



Valeurs possiblesExplicationNom IUG

service : spécifie le mode dedémarrage avant toutemodification ou tentative demodification.

Boot, System, Automatic, Manual, DisabledApplicable uniquement auxmodifications du mode de

new startup

démarrage d'un service : spécifiele mode de démarrage d'unservice après modification réelleou inachevée.

Applicable uniquement auxmodifications du mode de

logon

connexion d'un service :informations de connexion(système ou compte utilisateur)utilisées par le service.

La règle suivante permet d'empêcher la désactivation du service d'alerte.

Rule {

tag "Sample9"

Class Services

Id 4001

level 4

Service { Include “Alerter” }



directives service:stop

}


• Class Services : indique que la règle est associée à la classe des opérations de fichiers.



• Service { Include “Alerter” } : indique que la règle couvre le service nommé « Alerter ». Sila règle couvre plusieurs services, ajoutez-les dans cette section sur différentes lignes.

• application { Include “*”} : indique que cette règle est valide pour l'ensemble des processus.Si vous souhaitez limiter votre règle à des processus spécifiques, ajoutez-les en entier danscette section, avec le nom de chemin.


• directives service:stop : indique que cette règle couvre la désactivation d'un service.



Classe Windows SQLLe tableau suivant répertorie les sections et valeurs disponibles pour la classe Windows SQL :


MSSQLClass


level

time

user_name

Executable

Valeur booléenne spécifiantquelle authentification, Windows

authentication_mode

(défini sur 1) ou SQL (défini sur0), a été utilisée.

Exemple : OSQL-32, Internet Information ServicesNom de l'utilitaire envoyant larequête sur le système client.

client_agent

Exemple : saNom de l'utilisateur en casd'utilisation de l'authentification

db_user_name

SQL et « Trusted User » sil'authentification Windows estutilisée.

Il doit correspondre à un nom de procédurestockée. Une procédure stockée est identifiée par

Nom de la procédure stockée.sp_name

une liste de noms de procédures incluse danschaque version de l'agent SQL (actuellementSPList.txt dans le répertoire de l'agent).

Contient la longueur duparamètre en nombre decaractères.

sp_param_char_len_one...

Contient la valeur du paramètre.sp_param_one...

Contient la longueur duparamètre en nombre d'octets.

sp_param_orign_len-one...

Cette valeur est définie sur 1 sila requête comporte une ligne

sql_line_comment

de commentaire unique"-"contenant une apostrophe.

Contient la requête SQLcomplète exactement comme

sql_original_query

elle a été reçue (avec les chaîneset espaces).

Il s'agit de la chaîne de requêteSQL sans les valeurs de chaîne,les espaces et les commentaires.

sql_query

Cet élément doit toujours être défini sur 0 pourles utilisateurs non SQL.

Cet élément est défini sur 1 si lemot de passe a une valeur NULLet sur 0 dans les autres cas.

sql_user_password

Sur MSSQL 2005/2008, cetélément est codé en dur dans :mémoire partagée (LPC).

transport




Pour les requêtes SQL entrantessql:request.directives

Classes et directives pour plate-forme WindowsListe des classes et directives valides pour plate-forme Windows :

• Windows XP, SP2, SP3, 32 et 64 bits (XP)

• Windows 2003, R2, R2 SP2, 32 et 64 bits (2K3)

• Windows Vista, 32 et 64 bits (V)

• Windows 2008 R2, 32 et 64 bits (2K8)

• Windows 7, 32 et 64 bits (7)

Classe Buffer Overflow

Processus 64 bits sur unsystème d'exploitationWindows 64 bits (x64)



Directives

72K8V2K3XP72K8V2K3XP72K8V2K3XPbo:

xxxxxxxxxxstack

xxxxxxxxxxheap

xxxxxxxxxxwriteable_memory

xxxxxxxxxxinvalid_call

xxxxxxxxxxtarget_bytes

xxxxxxxxxxcall_not_found

xxxxxxxxxxcall_return_unreadable

xxxxxxxxxxcall_different_target

xxxxxxxxxxcall_return_to_api

Classe Files




Directives

72K8V2K3XP72K8V2K3XP72K8V2K3XPfiles:

xxxxxxxxxxxxxxxcreate

xxxxxxxxxxxxxxxread

xxxxxxxxxxxxxxxwrite

xxxxxxxxxxxxxxxexecute

xxxxxxxxxxxxxxxdelete

xxxxxxxxxxxxxxxrename

xxxxxxxxxxxxxxxattribute

xxxxxxxxxxxxxxxwriteop






Directives

72K8V2K3XP72K8V2K3XP72K8V2K3XPfiles:

xxxxxxxxxxxxxxxhardlink

Classe Hook




Directives

72K8V2K3XP72K8V2K3XP72K8V2K3XPhook:

xxxxxxxxxxxxxxxset_windows_hook

Classe Illegal API Use




Directives

72K8V2K3XP72K8V2K3XP72K8V2K3XPillegal_api_use:

xxxxxxxxxxxxxxxbad_parameter

xxxxxxxxxxxxxxxinvalid_call

Classe Illegal Use




Directives

72K8V2K3XP72K8V2K3XP72K8V2K3XPillegal:

xxxxxxxxxxxxxxxapi

Classe ISAPI




Directives

72K8V2K3XP72K8V2K3XP72K8V2K3XPisapi:

xxxxxxrequest

xxxxxxrequrl

xxxxxxreqquery

xxxxxxrawdata

xxxxxxresponse



Classe Program




Directives

72K8V2K3XP72K8V2K3XP72K8V2K3XPprogram:

xxxxxxxxxxxxxrun

xxxxxxxxxxxxxopen_with_any

xxxxxxxxxxxxxopen_with_create_thread

xxxxxxxxxxxxxopen_with_modify

xxxxxxxxxxxxxopen_with_terminate

xxxxopen_with_wait

Classe Registry




Directives

72K8V2K3XP72K8V2K3XP72K8V2K3XPregistry:


xxxxxxxxxxxxxxxread

xxxxxxxxxxxxxxxdelete

xxxxxxxxxxxxxxxmodify

xxxpermissions

xxxxxxxxxxxxxxxenumerate

xxxmonitor

xxxrestore

xxxreplace

xxxxxxxxxload

xxxxxxxxxxxxxxxopen_existing_key

xxxxxxxxxrename

Classe Services




Directives

72K8V2K3XP72K8V2K3XP72K8V2K3XPservices:

xxstart

xxstop

xxpause

xxcontinue

xxxxxxxxxxxxxxxstartup






Directives

72K8V2K3XP72K8V2K3XP72K8V2K3XPservices:

xxxxxxxxxxxxxxxprofile_enable

xxxxxxxxxxxxxxxprofile_disable

xxxxxxxxxxxxxxxlogon


xxxxdelete

Classe SQL




Directives

72K8V2K3XP72K8V2K3XP72K8V2K3XPsql:

xxxxxxxxxrequest

Signatures personnalisées non WindowsCette section décrit la méthode d'écriture de signatures personnalisées pour les plates-formesSolaris et Linux.

REMARQUE : les règles classe Files de Windows utilisent une double barre oblique alors queles règles classe UNIX_file non Windows utilisent une simple barre oblique.

La classe de la signature dépend de la nature du problème de sécurité et de la protection offertepar la signature. Pour Solaris et Linux, les classes suivantes sont disponibles :


Pour les opérations de fichier ou de répertoire sur Solariset Linux.

UNIX_file

Pour les requêtes HTTP sur Solaris et Linux.UNIX_apache

Pour préserver la protection de l'accès sur Solaris et Linux.UNIX_Misc

Pour un Buffer Overflow. Solaris uniquement.UNIX_bo

Pour le mappage des fichiers ou périphériques dans lamémoire. Solaris uniquement.

UNIX_map

Pour autoriser les utilisateurs à exécuter un fichierexécutable avec les autorisations du propriétaire ou groupede ce dernier. Solaris uniquement.

UNIX_GUID

Classe UNIX_file Solaris/LinuxLe tableau suivant répertorie les sections et valeurs disponibles pour la classe UNIX_file baséesur UNIX :

Annexe A : Création d'exceptions et de signatures personnaliséesSignatures personnalisées non Windows



UNIX_fileClass


level

time

user_name

Executable

L'un des paramètres requis. Fichiers à rechercher.Voir la note 1.

Fichier ou dossier utilisé dansl'opération

files

L'un des paramètres requis. Voir la note 1.Noms des fichiers ciblesource

Solaris uniquement. Facultatif. Voir la note 2.Liste des autorisations des nomsde fichiers source

file

Solaris uniquement. Facultatif. Voir la note 2.Autorisation modifiée ou moded'autorisation d'un fichiernouvellement créé

new

Solaris 10 ou version ultérieure. Voir la note 5.Nom de la zone à laquelle lasignature s'applique

zone

Modifie le répertoire de travail.unixfile:chdirdirectives

Modifie les autorisations du répertoire ou dufichier.

unixfile:chmod

Modifie le propriétaire du répertoire ou du fichier.unixfile:chown

Crée un fichier.unixfile:create

Crée un lien physique. Voir la note 3.unixfile:link

Crée un répertoire.unixfile:mkdir

Ouvre un fichier en mode lecture seule.unixfile:read

Renomme un fichier. Voir la note 4.unixfile:rename

Supprime un répertoire.unixfile:rmdir

Crée un lien symbolique.unixfile:symlink

Supprime un fichier d'un répertoire ou supprimeun répertoire.

unixfile:unlink

Ouvre un fichier en mode lecture/écriture.unixfile:write

Linux uniquement. Modifie les autorisations etle propriétaire du répertoire ou du fichier.

unixfile:setattr

Crée un nœud.unixfile:mknod

Modifie les attributs d'un fichier. Les attributssurveillés sont « Read-only », « Hidden »,« Archive » et « System ».

unixfile:access

Solaris uniquement. Le nom de fichier contient512 « / » consécutifs.

unixfile:foolaccess

Solaris uniquement. Affiche ou définit lesparamètres de planification.

unixfile:priocntl



Note 1

Directives pertinentes par section :

New PermissionFile PermissionSourceFileDirective

XXchdir

XXXchmod

Xchown

XXXcreate

Xlink

Xmkdir

Xread

XXrename

Xrmdir

Xsetattr

XXXsymlink

Xunlink

Xwrite

Note 2

La valeur des sections file permissions et new permissions correspond à la liste de contrôled'accès (Access Control List, ACL). Les seules valeurs possibles sont « SUID » ou « SGID ».

Note 3

La directive unixfile:link prend une signification différente lorsqu'elle est associée aux sectionsfiles et source :

• Lorsqu'elle est associée à la section files, cela signifie que la création d'un lien vers un fichierde cette section est surveillée.

• Lorsqu'elle est associée à la section source, cela signifie qu'aucun lien ne peut être créé avecle nom tel qu'il est spécifié dans la section source.

Note 4

La directive unixfile:rename prend une signification différente lorsqu'elle est associée aux sectionsfiles et source :

• Lorsqu'elle est associée à la section files, cela signifie que le changement de nom d'un fichierdans cette section est surveillé.

• Lorsqu'elle est associée à la section source, cela signifie qu'aucun fichier ne pourra êtrerenommé avec le nom d'un fichier de cette section.

Note 5

Par défaut, toutes les zones sont protégées par la signature. Pour limiter la protection à unezone en particulier, ajoutez une section zone dans la signature et incluez le nom de cettedernière.



Par exemple, si vous avez une zone dont le nom est « app_zone » et la racine, /zones/app, larègle :

Rule {

...

file { Include "/tmp/test.log" }

zone { Include "app_zone" }

... }

ne s'applique qu'au fichier de la zone « app_zone » et pas à la zone globale.

Notez que dans cette version, la protection du serveur web ne peut pas être limitée à une zoneparticulière.

Détails avancés

Tous ou seulement quelques-uns des paramètres suivants apparaissent dans l'onglet Détailsavancés des événements de sécurité pour la classe UNIX_file. Les valeurs de ces paramètrespeuvent vous aider à comprendre le déclenchement d'une signature.

ExplicationNom IUG

Noms des fichiers ayant fait l'objet d'une tentative d'accès(réussie ou non).

files

Applicable uniquement lors de la création d'un liensymbolique entre des fichiers : nom du nouveau lien ; ou

source

lors du changement de nom d'un fichier : nouveau nomdu fichier.

Autorisations du fichier.file permission

Applicable uniquement lors de la création d'un liensymbolique entre des fichiers : autorisations du fichier

source permission

cible (le fichier vers lequel pointe le lien). Solarisuniquement.

Applicable uniquement lors de la création d'un fichier oud'une opération chmod : autorisations du nouveau fichier.Solaris uniquement.

new permission

Class UNIX_apache Solaris/Linux (HTTP)Le tableau suivant répertorie les sections et valeurs disponibles pour la classe apache baséesur UNIX :


UNIX_apacheClass


level

time

user_name

Executable

Facultatif. Comparée à la partie url d'une requêteentrante. Voir les notes 1 à 4.

url




Facultatif. Comparée à la partie query d'unerequête entrante. Voir les notes 1 à 4.

query

Facultatif. Voir la note 4.« GET », « POST », « INDEX »et toute autre méthode HTTPautorisée

method


zone

Pour les demandes d'URL.apache:requrldirectives

Pour les demandes de requêtes.apache:reqquery

Pour les demandes de données brutes.apache:rawdata

Note 1

Une requête HTTP entrante peut être représentée comme suit : http://www.myserver.com/{url}?{query}. Dans ce document, nous faisons référence à {url} comme la partie « url » dela requête HTTP et à {query} comme la partie « query » de cette dernière. Grâce à cetteconvention de nommage, la section « url » est comparée à {url} et la section « query » à{query}.

Par exemple, la règle suivante est déclenchée si la requête HTTP http://www.myserver.com/search/abc.exe?subject=wildlife&environment=ocean est reçue par IIS :

Rule {

Class UNIX_apache

Id 4001

level 1

url { Include “*abc*” }

time { Include “*” }



directives apache:request

}

Cette règle est déclenchée car {url}=/search/abc.exe, ce qui correspond à la valeur de la section« url » (c.-à-d. abc).

Note 2

Avant la comparaison, les sections « url » et « query » sont décodées et normalisées afin qu'ilsoit impossible de compléter des requêtes par du code ou des séquences d'échappement.

Note 3

Une longueur maximum peut être définie pour les sections « url » et « query ». En ajoutant« ;number-of-chars » à la valeur de ces sections, la correspondance de la règle s'effectuerauniquement si {url} ou {query} comporte plus de caractères que « number-of-chars ». Parexemple, la correspondance de la règle suivante est effective si la partie url de la requêtecontient « abc » et comporte plus de 500 caractères :

Rule {



Class UNIX_apache

Id 4001

level 1

url { Include “*abc*;500” }

time { Include “*” }



directives apache:request}

}

Note 4

Une règle doit contenir au moins l'une des sections facultatives suivantes : url, query ou method.

Note 5



Rule {

...



... }



Classe UNIX_Misc Solaris/LinuxLe tableau suivant répertorie les sections et valeurs disponibles pour la classe Solaris ou LinuxUNIX_misc :


Une classe diverse qui préserve la protection del'accès.

UNIX_miscClass


level

time

user_name

Executable

Solaris 10 ou version ultérieure.Nom de la zone à laquelle lasignature s'applique

zone




Bloque l'envoi au client du signal SIGKILL.unixmisc:killagentdirectives

Classe UNIX_bo SolarisLe tableau suivant répertorie les sections et valeurs disponibles pour la classe Solaris class_bo(Buffer Overflow) :


UNIX_boClass


level

time

user_name

Executable

Programme à rechercher.Nom du programmeprogram


zone

Arguments binaires.unixbo:binargsdirectives

Adresse illicite, comme l'exécution d'unprogramme de la pile.

unixbo:illegal_address

Exécution du programme.unixbo:exec

Environnement du programme.unixbo:environment

Environnement binaire.unixbo:binenv

Utilisée lorsque l'adresse de l'expéditeur d'unefonction ne se trouve pas dans le frame de pileapproprié.

unixbo:libc

Note 1



Rule {

...



... }





Classe UNIX_map SolarisLe tableau suivant répertorie les sections et valeurs disponibles pour la classe Solaris Unix_map :


Utilisez cette classe pour mapper les fichiers UNIXou périphériques dans la mémoire.

UNIX_mapClass


level

time

user_name

Executable


zone

Définit la protection de l'accès pour les pages demémoire.

mmap:mprotectdirectives

Mappe les fichiers ou périphériques dans lamémoire.

mmap:mmap

Classe UNIX_GUID SolarisLe tableau suivant répertorie les sections et valeurs disponibles pour la classe SolarisUNIX_GUID :


Utilisez cette classe pour définir les indicateurs dedroits d'accès Unix autorisant les utilisateurs à

UNIX_GUIDClass

exécuter un fichier exécutable avec lesautorisations du propriétaire ou groupe de cedernier.


level

time

user_name

Executable


zone

Définit l'ID d'utilisateur afin de permettre à celui-cid'exécuter un fichier exécutable avec lesautorisations du propriétaire de ce dernier.

guid:setuiddirectives

Définit l'ID d'utilisateur valide.guid:seteuid

Définit l'ID d'utilisateur réel et valide.guid:setreuid

Définit l'ID de groupe autorisant un groupe àexécuter un fichier exécutable avec lespermissions du groupe de ce dernier.

guid:setgid

Définit l'ID de groupe valide.guid:setegid




Définit l'ID de groupe réel et valide.guid:setregid

Classes et directives pour plate-forme UNIXListe des classes et directives valides pour plate-forme non Windows :

Classe UNIX_bo

Solaris 10Solaris 9SuSE LinuxRedHat LinuxDirectives

XXunixbo:binargs

XXunixbo:illegal_address

XXunixbo:exec

XXunixbo:environment

XXunixbo:binenv

XXunixbo:libc

Classe UNIX_file


XXXXunixfile:chdir

XXXXunixfile:chmod

XXXXunixfile:chown

XXXXunixfile:create

XXXXunixfile:link

XXXXunixfile:mkdir

XXXXunixfile:read

XXXXunixfile:rename

XXXXunixfile:rmhdir

XXunixfile:setattr

XXXXunixfile:symlink

XXXXunixfile:unlink

XXXXunixfile:write

XXXXunixfile:mknod

XXXXunixfile:access

XXunixfile:foolaccess

XXunixfile:priocntl



Classe UNIX_Misc


XXXXunixmisc:killagent

Classe UNIX_apache


XXXXapache:requrl

XXXXapache:reqquery

XXXXapache:rawdata

Classe UNIX_map


XXmmap:mprotect

XXmmap:mmap

Classe UNIX_GUID


XXguid:setuid

XXguid:seteuid

XXguid:setreuid

XXguid:setgid

XXguid:setegid

XXguid:setregid



Annexe B : DépannageLes articles de la base de connaissances (KnowledgeBase) du site du support technique McAfeehttp://mcafee.com vous proposent les informations de support les plus récentes sur les problèmeset leur résolution. Consultez l'article KB69184 pour obtenir les informations les plus récentes.

Table des matières

Problèmes généraux

Journaux Host IPS

Utilitaire Clientcontrol.exe

Problèmes générauxQuels services Host Intrusion Prevention doivent être installés et exécutés sur lesystème client pour un fonctionnement correct du logiciel ?

Ces services doivent toujours être actifs pour que la prévention des intrusions fonctionne, avecIPS et/ou pare-feu :

• Service McAfee Host Intrusion Prevention (FireSvc.exe)

• Service McAfee Firewall Core (mfefire.exe)

• Service McAfee Validation Trust Protection (mfevtps.exe)

Les services suivants doivent être actifs lors des appels :

• Service de l'icône McAfee Host Intrusion Prevention de la barre d'état système (FireTray.exe).

• Console client McAfee Host Intrusion Prevention (McAfeeFire.exe)

Comment empêcher le pare-feu de bloquer le trafic non IP ?

Lorsqu'aucune règle de pare-feu ne l'indique spécifiquement, certains types de trafics non IPne sont pas reconnus par le pare-feu et sont par conséquent bloqués. En outre, les modesadaptatif et d'apprentissage ne détectent ni ne créent dynamiquement de règles de pare-feupour les protocoles non IP. Pour empêcher le rejet des protocoles non IP, sélectionnez Autoriserle trafic associé à des protocoles non pris en charge dans la stratégie Options depare-feu. Vous pouvez ensuite consulter la section Protocole non IP entrant/sortantautorisé du journal d'activité : 0xXXX, où 0xXXX indique le numéro Ethernet IANA du protocole(voir http://www.iana.org/assignments/ethernet-numbers). Utilisez ces informations pourdéterminer le trafic non IP nécessaire et créez une règle de pare-feu autorisant ce dernier.


http://mcafee.com

htttp://www.iana.org/assignments/ethernet-numbers

Que faire lorsqu'une application ne fonctionne pas ou de manière incorrecte suiteà l'installation de Host Intrusion Prevention ou à la mise à jour de son contenu ?

Si l'une de vos applications se comporte différemment après l'installation ou la mise à jour duclient Host Intrusion Prevention ou de son contenu, vous devez déterminer si une signature ouun autre élément est à l'origine du problème.

Si le problème est causé par une signature IPS :

1 Activez la journalisation IPS (écriture sur HipShield.log) et la journalisation du pare-feu(écriture sur FireSvc.log) sur le client ou dans la stratégie d'interface utilisateur de ce derniersur le serveur ePolicy Orchestrator, puis reproduisez les étapes entraînant le problème.

2 Recherchez VIOLATION dans HipShield.log pour obtenir des détails sur les violationsd'événements (<Event>).

3 Si une nouvelle signature bloque l'activité à cause d'un événement, accédez à l'ongletEvénements de Host IPS sous la partie des rapports du serveur ePolicy Orchestrator, trouvezl'événement et créez une exception. Assurez-vous que l'exception est aussi granulaire quepossible en utilisant les paramètres avancés de l'événement.

4 Si les paramètres avancés de l'événement sont limités, affichez la signature liée à ce dernier.Si un élément VCE (Common Vulnerabilities and Exposures) est référencé dans la descriptionde la signature IPS, cela indique qu'un patch de mise à jour de sécurité est disponible.Appliquez le patch et désactivez la signature.

Si le problème n'est pas lié à une signature IPS :

1 Désactivez les modules Host Intrusion Prevention (IPS, IPS réseau et pare-feu) puis tentezde reproduire le problème.

2 Désactivez IPS et arrêtez le service client Host Intrusion Prevention (FireSvc.exe), puistentez de reproduire le problème.

3 Si le problème disparaît, sélectionnez Autoriser le trafic associé à des protocoles nonpris en charge dans la stratégie Options de pare-feu à partir du serveur ePolicyOrchestrator, puis mettez en œuvre la stratégie sur le client. Tentez de reproduire leproblème après définition de cette option. Remarque : même si le pare-feu est désactivé,le trafic peut toujours être ignoré lorsque Host Intrusion Prevention est actif.

4 Si ces étapes ne vous permettent pas de résoudre le problème, désactivez l'adaptateurMcAfee NDIS Intermediate Filter Miniport puis tentez de le reproduire.

5 Si ces étapes ne vous permettent pas de résoudre le problème, désinstallez l'adaptateurMcAfee NDIS Intermediate Filter Miniport puis tentez de le reproduire. Pour en savoir plus,consultez l'article 51676 de la base de connaissances (KnowledgeBase) surhttp://knowledge.mcafee.com.

6 Si le problème disparaît avec la désinstallation de NDIS, consultez l'article de la base deconnaissances 68557 sur http://knowledge.mcafee.com et tentez de reproduire le problèmeavec NDIS désinstallé et le pilote relais de Microsoft (Pass Thru) installé.

Si le problème survient uniquement lorsque le module IPS est activé et qu'aucune violationd'événement (<Event>) n'apparaît dans HipShield.log :

1 Identifiez les fichiers exécutables associés à l'application.

2 Excluez ces derniers de la liste de protection des applications Host IPS.

3 Testez à nouveau le fonctionnement de l'application. Notez les résultats.

4 Incluez les fichiers exécutables exclus à l'étape 2.

5 Isolez le moteur IPS possiblement à l'origine du problème. Pour en savoir plus, consultezl'article 54960 de la base de connaissances (KnowledgeBase) surhttp://knowledge.mcafee.com.

Annexe B : DépannageProblèmes généraux


http://knowledge.mcafee.com





6 Identifiez le moteur IPS à l'origine du problème.

Comment isoler les composants de Host IPS pour déterminer lequel est à l'origined'un problème ?

REMARQUE : cette procédure comporte des étapes pouvant requérir plusieurs redémarrages,reconnexions ou reproductions des problèmes. Les étapes suivantes doivent être réalisées surle système client local avec la console Host IPS. Si vous trouvez l'origine du problème sanspouvoir le résoudre, transmettez les journaux obtenus au support technique McAfee.

Désactivez tous les composants et testez le problème :

1 Désactiver IPS : cliquez sur l'onglet Stratégie IPS et désactivez les options Activer HostIPS et Activer IPS réseau.

2 Désactiver le pare-feu : cliquez sur l'onglet Stratégie de pare-feu et désélectionnezl'option Activer le pare-feu.

3 Effacer la liste des Hôtes bloqués : cliquez sur l'onglet Hôtes bloqués et effacez la liste ensélectionnant chaque entrée et en cliquant sur Supprimer.

4 Activer la journalisation des activités : cliquez sur l'onglet Journal d'activité et vérifiezque toutes les options de journalisation du trafic et de filtre sont sélectionnées.

5 Testez le système pour vérifier la récurrence du problème :

• Si le problème persiste, passez à l'étape 6.

• Si le problème disparaît, passez à l'étape 1 de la phase de tests itératifs.

6 Vérifiez les éléments suivants :

• Arrêtez le service McAfee Host IPS et tentez de reproduire le problème. Si le problèmedisparaît, rapportez le problème en précisant qu'il est directement lié à ce service.

• Désinstallez le client Host IPS du système local et tentez de reproduire le problème. Sile problème disparaît, rapportez le problème en précisant qu'il est lié aux fichiers installéset non à un composant spécifique.

Phase de tests itératifs de chaque composant :

Tester Host IPS

1 Cliquez sur l'onglet Journal d'activité et effacez le journal.

2 Cliquez sur l'onglet Stratégie IPS et sélectionnez l'option Activer Host IPS.

3 Testez le système pour vérifier la récurrence du problème :

• Si le problème disparaît, passez à l'étape 5, Tester IPS réseau.

• Si le problème persiste :

1 Désélectionnez l'option Activer Host IPS.

2 Tentez de reproduire le problème pour déterminer si ce dernier disparaît. Si leproblème est résolu, Host IPS peut potentiellement y être lié.

3 Enregistrez une copie du journal d'activité et nommez-le Host IPS Activity LogwProb pour l'envoyer au support technique.

4 Sélectionnez l'option Activer Host IPS et vérifiez la récurrence du problème.

Tester tous les moteurs IPS

1 Cliquez sur Aide et sélectionnez Dépannage.

2 Sélectionnez Rapport d'erreurs sous la journalisation IPS.

3 Sélectionnez Journaliser les violations de sécurité.



4 Cliquez sur Fonctionnalités.

5 Dans la boîte de dialogue Moteurs HIPS, désélectionnez l'option Activer/désactiver tousles moteurs et cliquez sur OK.

6 Testez le système pour vérifier la récurrence du problème.

7 Effectuez l'une des procédures suivantes :

• Si le problème persiste, déterminez si le problème est lié au composant IPS mais pasaux moteurs spécifiques. Consultez le fichier hipshield.log pour déterminer si lecomposant IPS est à l'origine du problème.

• Si le problème disparaît, le problème est peut-être lié à un moteur spécifique. Passezà l'étape suivante, Tester chaque moteur IPS.

Tester chaque moteur IPS

1 Cliquez sur Aide et sélectionnez Dépannage.

2 Sélectionnez Rapport d'erreurs sous la journalisation IPS.

3 Sélectionnez Journaliser les violations de sécurité.

4 Cliquez sur Fonctionnalités.

5 Sélectionnez les moteurs un par un et tentez de reproduire le problème.

6 Enregistrez une copie du journal hipshield pour chaque test et appliquez-lui le nom dumoteur testé, pour l'envoyer au support technique.

7 A la fin des tests, activez tous les moteurs pour passer à l'étape suivante.

Tester le mode adaptatif IPS


2 Cliquez sur l'onglet Stratégie IPS et sélectionnez l'option Activer le mode adaptatif.



• Si le problème persiste, désélectionnez Activer le mode adaptatif et tentez dereproduire le problème pour déterminer si ce dernier persiste. Si c'est le cas, Host IPSen mode adaptatif peut potentiellement y être lié. Enregistrez une copie du journald'activité et nommez-le Host IPS Adaptive Activity Log wProb pour l'envoyer ausupport technique.

• Si le problème disparaît, désélectionnez l'option Activer Host IPS et passez à l'étapesuivante.

Tester IPS réseau


2 Cliquez sur l'onglet Stratégie IPS et sélectionnez l'option Activer IPS réseau.



• Si le problème persiste, désélectionnez Activer IPS réseau et tentez de reproduire leproblème pour déterminer si ce dernier persiste. Si c'est le cas, IPS réseau peutpotentiellement y être lié. Enregistrez une copie du journal d'activité et nommez-leNetwork IPS Activity Log wProb pour l'envoyer au support technique.

• Si le problème disparaît, sélectionnez l'option Activer IPS réseau et passez à l'étapesuivante.

Tester le blocage automatique d'IPS réseau




2 Cliquez sur l'onglet Stratégie IPS et sélectionnez l'option Activer IPS réseau.

3 Activez la case Bloquer automatiquement les pirates.

4 Testez le système pour vérifier la récurrence du problème. Si le problème persiste :

a Désélectionnez l'option Bloquer automatiquement les pirates et tentez dereproduire le problème pour déterminer si ce dernier persiste. Si c'est le cas, IPS réseauen mode de blocage des pirates peut potentiellement y être lié.

b Cliquez sur l'onglet Hôtes bloqués, relevez les entrées relatives aux pirates bloquéspuis recherchez les faux positifs.

c Enregistrez une copie du journal d'activité et nommez-le Network IPS AdaptiveActivity Log wProb pour l'envoyer au support technique.

5 Si le problème disparaît, désélectionnez l'option Activer IPS réseau et passez à l'étapesuivante.

Tester la stratégie de pare-feu


2 Cliquez sur l'onglet Stratégie de pare-feu et sélectionnez l'option Activer le pare-feu.


a Désélectionnez l'option Activer le pare-feu.

b Tentez de reproduire le problème pour déterminer si ce dernier est résolu. Si c'est lecas, le pare-feu de Host IPS peut potentiellement y être lié.

c Enregistrez une copie du journal d'activité et nommez-le Firewall Activity LogwProb.

4 Si le problème disparaît, sélectionnez l'option Activer le pare-feu et passez à l'étapesuivante.

Tester le mode d'apprentissage du pare-feu


2 Cliquez sur l'onglet Stratégie de pare-feu et sélectionnez les options Moded'apprentissage et Entrant. Désélectionnez l'option Sortant.


a Désélectionnez l'option Entrant.

b Tentez de reproduire le problème pour déterminer si ce dernier est résolu. Si c'est lecas, le mode d'apprentissage entrant du pare-feu peut potentiellement y être lié.

c Enregistrez une copie du journal d'activité et nommez-le Firewall Activity LogLearnIN wProb pour l'envoyer au support technique.

d Cliquez sur l'onglet Journal d'activité et effacez le journal.


5 Cliquez sur l'onglet Stratégie de pare-feu et sélectionnez les options Moded'apprentissage et Sortant. Désélectionnez l'option Entrant.


a Désélectionnez l'option Sortant.

b Tentez de reproduire le problème pour déterminer si ce dernier est résolu. Si c'est lecas, le mode d'apprentissage sortant du pare-feu peut potentiellement y être lié.



c Enregistrez une copie du journal d'activité et nommez-le Firewall Activity LogLearnOUT wProb pour l'envoyer au support technique.

d Cliquez sur l'onglet Journal d'activité et effacez le journal.

7 Accédez à l'onglet Stratégie de pare-feu.

8 Cliquez sur l'onglet Stratégie de pare-feu et sélectionnez les options Moded'apprentissage ainsi que Entrant et Sortant.


a Désélectionnez les options Entrant et Sortant.

b Tentez de reproduire le problème pour déterminer si ce dernier est résolu. Si c'est lecas, les modes d'apprentissage entrant et sortant du pare-feu peuvent potentiellementy être liés.

c Enregistrez une copie du journal d'activité et nommez-le Firewall Activity LogLearnINOUT wProb pour l'envoyer au support technique.

Tester avec une règle de pare-feu d'autorisation de tous les trafics

REMARQUE : cette étape peut devoir être configurée à partir de la console de gestion ePO caril est impératif que la première règle de la liste des règles de pare-feu soit une règle de testd'autorisation de tous les trafics. Si d'autres stratégies ont été configurées à partir de la console,ces dernières sont prioritaires sur les règles créées localement.

1 Créez une nouvelle règle et nommez-la Autoriser tous les trafics.

2 Définissez l'action sur Autoriser.

3 Définissez le protocole sur TCP IP.

4 Définissez la direction sur Les deux.

5 Enregistrez la règle. Si la règle est créée dans une stratégie via la console ePO, déplacezla règle Autoriser tous les trafics afin qu'elle apparaisse en premier dans la liste desstratégies. Si la règle est créée localement, assurez-vous qu'aucune autre ne la précède.


a Désactivez la règle Autoriser tous les trafics.

b Tentez de reproduire le problème pour déterminer si ce dernier est résolu. Si c'est lecas, une erreur de configuration existe probablement au niveau des règles.

c Réalisez une capture d'écran de la liste de pare-feu dans l'onglet Stratégie depare-feu.

d Enregistrez une copie du journal d'activité et nommez-le Firewall Activity LogAnyAny Test.

e Exportez les paramètres de la stratégie Host IPS :

a Connectez-vous à la console ePO.

b Accédez à l'objet Catalogue de stratégies dans l'arborescence des systèmesePO.

c Recherchez Host IPS et développez-le.

d Cliquez sur Exporter toutes les stratégies.

7 Cliquez sur l'onglet Stratégie de pare-feu, désactivez la case Activer le pare-feu etpassez à l'étape suivante.

Tester la stratégie Hôtes bloqués




2 Cliquez sur l'onglet Hôtes bloqués et supprimez tous les hôtes bloqués de la liste.

3 Testez le système pour vérifier la récurrence du problème. Si c'est le cas, il n'estprobablement pas lié aux hôtes bloqués.

Si vous n'avez toujours pas déterminé l'origine du problème, contactez le support techniqueMcAfee, expliquez votre problème et joignez les données obtenues lors de cette procédure.

Journaux Host IPSOù se trouvent les fichiers journaux ?

Tous les fichiers journaux se trouvent dans l'un des répertoires suivants du système client, enfonction du système d'exploitation :

• Windows XP, Windows 2003 : C:\Documents and Settings\All Users\ApplicationData\McAfee\Host Intrusion Prevention

• Windows Vista, Windows 2008, Windows 7 : C:\ProgramData\McAfee\Host IntrusionPrevention

Comment activer la journalisation ?

Vous pouvez définir la journalisation Host IPS à l'aide de la console client Host IPS ou de lastratégie d'interface utilisateur du client Host IPS à partir de la console ePolicy Orchestrator.

Pour activer la journalisation à partir du client :

1 A partir de l'icône de la barre d'état, ouvrez la console Host IPS. Déverrouillez l'interfaceutilisateur grâce à un mot de passe administrateur ou à validité limitée.

2 Sélectionnez Aide | Dépannage.

3 Sélectionnez les paramètres de journalisation requis :

• Débogage : journalise tous les messages.

• Informations : journalise les informations, les avertissements et les messages d'erreur.

• Avertissement : journalise les avertissements et les messages d'erreur.

• Erreur : journalise les messages d'erreur.

• Désactivé : ne journalise aucun message.La journalisation IPS et la journalisation de pare-feu sont contrôlées séparément. Cesparamètres de journalisation restent effectifs jusqu'au verrouillage de la console client etlors de la mise en œuvre ultérieure de stratégies.

REMARQUE : la journalisation peut également être définie localement en ajoutant la valeurDWORD 'debug_enabled' dans la clé de Registre HKLM\Software\McAfee\HIP. Unevaleur de décimal 1 active la journalisation détaillée du débogage. L'utilisation de la clé deRegistre locale pour activer la journalisation du débogage remplace toutes les stratégies définiesà l'aide d'ePolicy Orchestrator.

Pour activer la journalisation à partir d'ePolicy Orchestrator :

1 Sous Host IPS : Général, modifiez la stratégie d'interface utilisateur à appliquer au client.

2 Cliquez sur l'onglet Dépannage.

3 Sélectionnez les paramètres de journalisation requis :

• Débogage : journalise tous les messages.

Annexe B : DépannageJournaux Host IPS


• Informations : journalise les informations, les avertissements et les messages d'erreur.

• Avertissement : journalise les avertissements et les messages d'erreur.

• Erreur : journalise les messages d'erreur.

• Désactivé : ne journalise aucun message.La journalisation IPS et la journalisation de pare-feu sont contrôlées séparément. Cesparamètres de journalisation s'appliquent à la prochaine mise en œuvre de stratégies.

Quels fichiers journaux sont associés au composant Host IPS ?

Le fichier journal principal du composant Host IPS est HipShield.log. Ce fichier journal atteint128 Mo et s'alterne avec une sauvegarde.

La rotation du fichier journal est contrôlée par les entrées DWORD log_rotate_size_kb etlog_rotate_count dans la clé de RegistreHKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP. La clé log_rotate_count déterminele nombre de fichiers journaux de sauvegarde à conserver et l'entrée DWORDentrylog_rotate_size_kb représente la taille approximative en Ko d'un fichier journal desauvegarde, où 0 signifie que la rotation de fichier journal est désactivée.

Lorsque la taille indiquée dans l'entrée log_rotate_size_kb est atteinte, le fichier est fermé etrenommé avec le suffixe .1. Si un fichier portant ce nom existe déjà, le suffixe est incrémentéd'un. Lorsque le nombre spécifié de fichiers de sauvegarde est atteint, le plus ancien estsupprimé.

REMARQUE : lors de la collecte des données relatives aux incidents signalés au support techniqueMcAfee, il est fortement recommandé de créer la valeur de Registre debug_enabled et de ladéfinir sur 1. Cette valeur de Registre permet de journaliser tous les événements Host IPS etIPS réseau dans le fichier HIPShield.log, indépendamment du paramètre Statut du journal despropriétés de signature. Assurez-vous d'arrêter le service, de supprimer les anciens fichiersjournaux, de redémarrer le service et d'exécuter la copie. Cela a pour effet de réduire la tailledes fichiers journaux.

Quels sont les éléments à rechercher dans le fichier HipShield.log ?

L'exécution du composant Host IPS démarre avec une instruction permettant d'identifier le buildexécuté et l'horodatage de la session. Chaque entrée du journal HipShield affiche un horodatage,suivi d'une indication concernant la nature des données : informations, débogage ou erreur.Les données contenues dans le journal HipShield sont des données ad hoc et sont différentesen fonction des segments du composant Host IPS.

Domaines d'intérêt principaux :

• Les lignes débutant par In install modules new décrivent la copie des fichiers commefaisant partie du démarrage du composant Host IPS. L'échec de la copie de ces fichiersempêche le composant Host IPS de démarrer.

• Une ligne débutant par Scrutinizer initialized successfully indique que le composantHost IPS s'est chargé jusqu'à l'initialisation de Scrutinizer, ce qui dépend de la copie correcteou non des fichiers mentionnés ci-dessus.

• Une ligne débutant par New Process: Pid= indique que le composant Host IPS peutsurveiller la création des processus.

• Une ligne débutant par IIS - Start indique que la surveillance IIS a commencé.

• Une ligne démarrant par Scrutinizer started successfully ACTIVATED status indiqueque Scrutinizer a démarré correctement.



• Une ligne débutant par Hooking xxx indique que l'accrochage des processus se poursuit.Le numéro xxx indique le PID (ID de processus) du processus accroché.

• Une série de lignes débutant par Processing Buffer xxx.scn rapporte les résultats dutraitement du fichier d'analyse xxx.scn par l'analyseur, où xxx est remplacé par un nomtel que EnterceptMgmtServer, comme indiqué ci-dessus. Les erreurs dans le traitementdes fichiers d'analyse par les analyseurs sont reportées ici.

• Les lignes au format signature=111 level=2, log=True indiquent qu'une signatureindividuelle a été chargée. L'ID et le niveau de signature sont inclus avec une indicationprécisant si la journalisation est activée pour cette signature.

REMARQUE : Shield.db et except.db sont créés dans le même répertoire que les journauxuniquement lorsque le débogage est activé. Ces fichiers contiennent un vidage des règles etexceptions envoyées au noyau après le traitement du contenu par AgentNT.dll.

Quels fichiers journaux sont associés au composant de pare-feu ?

Les fichiers journaux principaux du composant de pare-feu et ce qu'ils contiennent :

ContientDescriptionNom

Journal de service principalFireSvc.log • Journalisation de niveau débogage

• Sortie correspondant à l'emplacement

• Sortie d'évaluation de connexion TrustedSource

• Erreurs/avertissements

Journal du plug-in McAfeeAgent

HipMgtPlugin.log • Journalisation de niveau débogage

• Statistiques de délai de mise en œuvre des stratégies


Journal de la barre d'étatFireTray.log/McTrayHip.log • Journalisation de niveau débogage


Journal de l'interfaceutilisateur du client

FireUI.log • Journalisation de niveau débogage


Ces fichiers journaux grossissent jusqu'à atteindre la taille maximale par défaut de 100 Mo. Sivous souhaitez obtenir des fichiers journaux plus légers ou plus lourds, leur taille peut êtrecontrôlée en ajoutant la valeur de Registre suivante :HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP\MaxFwLogSize.

Pour définir la taille d'un fichier journal :

1 Sélectionnez la clé de Registre HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP, cliquezsur un espace vide du volet droit, puis sélectionnez Nouveau, Valeur Dword.

2 Nommez la nouvelle valeur MaxFwLogSize.

3 Cliquez sur MaxFwLogSize avec le bouton droit de la souris et sélectionnez Modifier.

4 Modifiez la valeur sur la taille de journal souhaitée. Cette valeur est entrée en Ko.

5 Cliquez sur OK, puis fermez l'Editeur du Registre.

REMARQUE : la clé de Registre MaxFwLogSize contrôle la taille des journaux FireSvc.log,HipMgtPlugin.log, FireTray.log et FireUI.log. La création et l'affectation d'une valeur à la clé deRegistre ci-dessus définissent la taille maximale de tous ces fichiers journaux.



Utilitaire Clientcontrol.exeCet utilitaire de ligne de commande permet d'automatiser les mises à niveau et les autres tâchesde maintenance lorsqu'un logiciel tiers est utilisé pour déployer Host Intrusion Prevention surdes ordinateurs clients. Il peut être inclus dans les scripts d'installation et de maintenance pourdésactiver temporairement la protection IPS et activer les fonctions de journalisation.

Fonctions et configuration

Cet utilitaire permet aux administrateurs d'effectuer les actions suivantes sur le client McAfeeHost IPS :

• démarrer le service Host IPS ;

• arrêter le service Host IPS (requiert un mot de passe administrateur ou à validité limitée) ;

• modifier les paramètres de journalisation (requiert un mot de passe administrateur ou àvalidité limitée) ;

• démarrer/arrêter les moteurs Host IPS (requiert un mot de passe administrateur ou à validitélimitée) ;

• exporter le journal d'activité vers un fichier texte mis en forme ;

• afficher les données de licence NaiLite résidant dans le Registre de l'ordinateur client ;

• exporter les paramètres de configuration vers un fichier texte mis en forme ;

• remplacer les paramètres de configuration par les paramètres de stratégie par défaut ;

• exporter les règles de protection IPS au démarrage à partir du Registre.

L'utilitaire enregistre ses activités dans le fichier ClientControl.log dans le répertoire :C:\Documents and Settings\All Users\Application Data\McAfee\Host Intrusion Prevention ouC:\ProgramData\McAfee\Host Intrusion Prevention sous Windows Vista, Windows 2008 etWindows 7.

Pour activer la journalisation, modifiez HKLM\Software\McAfee\HIP dans le Registre en ajoutantune entrée FwLogLevel de type DWORD avec une valeur de 0x7.

Arrêt des services Host IPS

Le paramètre /stop permet d'arrêter les services Host IPS si l'utilisateur dispose des droitsd'administrateur nécessaires à l'arrêt de services. Si l'utilisateur dispose des droits suffisantspour arrêter des services sur l'ordinateur, les événements suivants se produisent :

• Les services Host IPS sont arrêtés. La case Host IPS de l'onglet Stratégie IPS estdésactivée automatiquement.

• Les services Host IPS ne sont pas arrêtés. Une entrée apparaît dans le fichier ClientControl.log.

• McAfee Agent met en œuvre les stratégies à l'intervalle de mise en œuvre des stratégiessuivant.

• Si McAfee Agent met en œuvre les stratégies alors que vous effectuez une activité qui requiertla désactivation de la protection (par exemple l'application d'un patch à Windows), votreactivité peut être bloquée par les stratégies mises en œuvre.

Même si l'arrêt des services Host IPS est effectif, les paramètres de stratégie peuvent autoriserMcAfee Agent à les redémarrer au prochain intervalle de communication agent-serveur(Agent-Server Communication Interval ou ASCI). Pour l'en empêcher :

1 Dans ePolicy Orchestrator, ouvrez Host Intrusion Prevention : Stratégie générale.

2 Sélectionnez l'onglet Avancé.

Annexe B : DépannageUtilitaire Clientcontrol.exe


3 Désactivez la case à cocher Effectuer une vérification de l'intégrité des produits.

4 Envoyez un appel de réactivation de l'agent.

Syntaxe de ligne de commande

Conventions :

• [ ] signifie requis.

• [xxx, ...] signifie un ou plus.

• < > signifie données entrées par l'utilisateur.

Arguments principaux :

Un seul des arguments principaux suivants est autorisé par appel :

• /help

• /start

• /stop

• /log

• /engine

• /export

Cependant, vous pouvez spécifier plus d'une option de journalisation lors de la modification desparamètres de journalisation.

La commande /help de l'utilitaire fournit les remarques et informations d'aide les plus récentes.

Syntaxe :

clientcontrol [arg]

Définition des arguments :

• /help

Affiche les remarques et la syntaxe de la ligne de commande.

• /start

Démarre le service.

• /stop <mot de passe>

Arrête le service.

• /log <mot de passe> [type de journal] [options de journalisation]

Génère les journaux. Les options de journalisation sont traitées dans l'ordre.

Définition des types de journaux :

• 0 = HIPS (créer un journal HipShield.log)

• 1 = Pare-feu (créer un journal FireSvc.log)

Définition des options de journalisation :

• 0 = désactivé

• 1 = erreur

• 2 = avertissement

• 3 = informations

• 4 = débogage

• 5 = violation de sécurité (IPS uniquement)



• /engine <mot de passe> [type de moteur] [option de moteur]

Active et désactive les moteurs.

Définition des types de moteurs :

• 0 = tous

• 1 = Buffer Overflow

• 2 = SQL (serveur uniquement)

• 3 = Registre

• 4 = Services

• 5 = Fichiers

• 6 = HTTP (serveur uniquement)

• 7 = API Host IPS

• 8 = Utilisation illicite

• 9 = Programme

• 10= Point d'accroche

Définition des options de moteur :

• 0 = désactivé

• 1 = activé

• /export /s <chemin du fichier source d'exportation> <chemin du fichierd'exportation du journal d'événements>

Exporte le journal d'événements vers un fichier texte mis en forme. Le chemin du fichiersource est facultatif. N'incluez pas « /s » s'il n'existe aucun fichier source.

• /readNaiLic

Affiche les données de licence NaiLite.

• /exportConfig <chemin du fichier d'exportation> <type de configuration>

Exporte les paramètres de configuration vers un fichier texte mis en forme.

Définition des types de configuration :

• 0 = tous

• 1 = protection des applications

• 2 = hôtes bloqués

• 3 = pare-feu

• 4 = signatures personnalisées host IPS

• 5 = exceptions IPS

• 6 = paramètres

• 7 = applications approuvées

• 8 = réseaux approuvés

• 9 = signatures IPS réseau

• 10 = signatures host IPS

• 11 = moteurs host IPS

• 12 = ouverture de sessions

• 13 = règles de blocage DNS



• /defConfig <mot de passe>

Remplace les paramètres de configuration par les stratégies client par défaut pour lesparamètres de protection des applications, pare-feu et applications approuvées.

• /bootTimeRules <mot de passe> <chemin du fichier d'exportation>

Exporte les règles IPS de protection au démarrage vers un fichier texte mis en forme.

REMARQUE :

• Au moins une espace doit figurer entre l'argument, le mot de passe et tout autre paramètrerequis.

Exemples de flux de travail

Application d'un patch sur un ordinateur protégé par McAfee Host IPS

1 Ouvrez un shell de commande.

2 Exécutez la commande clientcontrol.exe /stop <mot de passe>.

3 Exécutez vos activités de maintenance.

4 Exécutez la commande clientcontrol.exe /start (pour redémarrer les services Host IPS).

Exportation du journal d'activité Host IPS vers un fichier texte


2 Exécutez la commande clientcontrol.exe /export <chemin du fichier d'exportation>.

3 Copiez le fichier journal exporté sur un autre ordinateur pour la collecte et l'analyse.

Activation de la journalisation dans le cadre d'un dépannage


2 Exécutez la commande clientcontrol.exe /log <mot de passe> [type de journal] [option dejournalisation, ...].

3 Exécutez les activités de génération des entrées de journal.

4 Consultez le fichier HipShield.log ou FireSvc.log pour obtenir des informations utiles.

Désactivation des moteurs Host IPS spécifiques dans le cadre d'un dépannage.


2 Exécutez la commande clientcontrol.exe /<mot de passe> [type de moteur] [option de moteur].

3 Exécutez les activités de génération des réactions et entrées de journal.

4 Consultez le fichier HipShield.log ou FireSvc.log pour obtenir des informations utiles.



Index

Aadaptateurs réseau

conditions d'autorisation de connexion 61administrateurs globaux

affectation d'ensembles d'autorisations 26adresse IP

configuration de réseaux approuvés 87groupes de règles 61groupes selon l'emplacement 61Notifications et paramètres Host IPS 28pare-feu avec état, IPv4 par rapport à IPv6 66règles de pare-feu et 100surveillance des hôtes bloqués 102

affectation de stratégiesactiver la protection par pare-feu 71Host IPS 9modification 20

alertes d'usurpation détectée 98alertes, Host IPS

alertes d'intrusion 97clients Windows 96configuration des options pour des clients 94mode d'apprentissage et trafic réseau inconnu 70pare-feu 97réponse à 97, 98usurpation détectée 98

appels de réactivationmise à jour des clients Host IPS 31

applications approuvéesconfiguration, dans Host IPS 88création d'une liste dans Host IPS 88création et modification, dans Host IPS 89création, basée sur un événement 53définition 10stratégie Règles IPS 53

autoriser et bloquer des actionscommunications réseau, Stratégie de pare-feu 100filtrage avec état du pare-feu 67

Bblindage et enveloppement

règles comportementales IPS et 35Blocage DNS du pare-feu, stratégie

définir 74Buffer Overflow

configuration d'une stratégie Applications approuvées 88empêche sur client Solaris 105règles comportementales IPS et 35

Ccaractères génériques

règles de pare-feu 80règles IPS 47

caractères génériques (suite)signatures personnalisées 117

catalogue de stratégiesApplications approuvées 88gestion des stratégies Host IPS 18Interface utilisateur du client 83propriété des stratégies Host IPS 8Réseaux approuvés 87stratégies de pare-feu personnalisées, création 71, 74

Catalogue Host IPSajout 78contenu 64dépendances 64explication 64exportation 78exportation depuis 78filtrage 78modification 78utilisation 78

client Linux 108, 109, 111arrêt et redémarrage 111considérations 109dépannage 109, 111mise en œuvre des stratégies 108présentation 108vérification des fichiers d'installation 111

client Solarisarrêt et redémarrage 108dépannage 106empêcher Buffer Overflow 105fichiers d'installation 107mise en œuvre des stratégies 105présentation 105vérification de l'exécution du client 108

client Windowsalertes 96dépannage 95, 96liste de règles de pare-feu 100onglet Hôtes bloqués 102, 103onglet Journal d'activité 104onglet Protection d'applications 103onglet Stratégie de pare-feu 100, 101onglet Stratégie IPS 99présentation 91règles d'exception pour les stratégies IPS 99règles de pare-feu, création et modification 101stratégies IPS, modification 99stratégies IPS, utilisation de 99

ClientControl, utilitairearrêt des services 159fonction et configuration 159syntaxe de ligne de commande 159utilisation pour le dépannage 159

clientsanalyse de données sur les clients Host IPS 21conventions de nommage pour Host IPS 21


clients (suite)Linux (Consulter Client Linux) 108mise à jour avec tâche ou appel de réactivation d'agent 31réglage Host IPS 21requêtes pour des groupes de 14Solaris (Consulter client Solaris) 105utilisation, dans Host IPS 21Windows (Consulter client Windows) 91

conformitéconfiguration des tableaux de bord Host IPS à afficher 19

conseilsutilisation des notifications 28

console client Windowsdéverrouillage de l'interface 93menu de l'icône de la barre d’état système 91méthodes d'ouverture 93personnalisation par client 94présentation 91

Ddépannage, Host IPS

blocage du trafic non IP 150client Linux 108, 109client Solaris 106client Windows 95désactivation des moteurs Host IPS 96échec d'application avec l'installation de Host Intrusion Prevention150Interface utilisateur du client 86isolement du composant à l'origine des problèmes 150journalisation de pare-feu, configuration des options 96options 95outil hipts 106, 109utilisation de l'utilitaire ClientControl 159utilisation des journaux 156vérification de l'exécution des services 150

déploiementdéploiement initial d'un client Host IPS 21profils d'usage dans Host IPS 10stratégies Host IPS et 10tâches serveur pour Host IPS 26

Eensembles d’autorisations

affectation 27autorisations Host IPS 26configuration du système 19gestion du déploiement Host IPS 26

enveloppement et blindage 33événements IPS

à propos de 37applications approuvées, création 53exceptions, création 53gestion 54présentation 53utilisation 53

événements, Host IPSalertes d'intrusion, réponse à 97analyse et réglage 10exceptions 36gestion 54journalisation et onglet Evénements IPS 37notifications 28pare-feu, journaux d'activité 104règles comportementales 35

événements, Host IPS (suite)stratégie Règles IPS 40utilisation 53violations de signature 37

FFAQ

mode adaptatif 23stratégie à plusieurs instances 42

faux positifsexceptions et stratégie Règles IPS 51réglage des stratégies Host IPS 10stratégie Applications approuvées, réduction 88

fichiers journaux, Host IPSactivité IPS 95activité pare-feu 96client Linux, historique d'installation 111client Solaris, historique d'installation 107dépannage 106, 109Dépannage de l'interface utilisateur du client 86

filtresévénements et requêtes Host IPS 10fonctionnement du filtrage avec état du pare-feu 67requêtes concernant les activités de Host IPS 14

Ggestion des informations

analyse des données client Host IPS 21requêtes prédéfinies et personnalisées pour Host IPS 14tableaux de bord et requêtes pour Host IPS 13

gestion des stratégiesaccès aux stratégies Host IPS 18analyse des règles de client et des événements Host IPS 18client Linux et 108onglet Stratégies, Host IPS 18réglage Host IPS 10, 20suivi des stratégies Host IPS 10

gestion du systèmemise à jour de la protection Host IPS 30notifications pour les événements Host IPS 28tâches serveur pour Host IPS 26, 28

groupes de règles, Host IPSgroupes de règles de pare-feu, création 77

groupes selon l'emplacementcréation 77isolement de connexion 63

groupes, Host IPSaffectation de stratégie 9application des stratégies 9critères de configuration 10et héritage 9notifications et 28pare-feu, selon l'emplacement, création 77suppression des stratégies et héritage pour 18

HHost IPS

activités et tableaux de bord 13configuration et réglage de la protection 20ensembles d’autorisations 26fonctions et catégories 9onglet Informations sur l'intrusion 97principes de fonctionnement 7protection de base et avancée 7


Index

Host IPS (suite)réponse aux alertes 97stratégies et leurs catégories 9types de stratégies 8

IIPS, Host IPS

autorisations pour 26

Jjournaux

activation 156FireSvc.log 156HipShield.log 156pour la fonctionnalité de pare-feu 156pour la fonctionnalité IPS 156utilisation pour le dépannage 156

journaux d'activité, Host IPSaffichage 104options de journalisation de pare-feu 96options de journalisation IPS 95personnalisation des options 104suppression d'entrées 104utilisation de l'onglet Journal d'activité 104

Llangue, Host IPS

configuration des options pour des clients 94listes de règles

exceptions pour Host IPS 99règles de pare-feu pour Host IPS 101

MMa stratégie par défaut

blocage DNS 74Règles de pare-feu 74

McAfee par défaut, stratégieblocage DNS 74Règles de pare-feu 74

McAfee, recommandationscontacter le support McAfee pour désactiver le moteur HIPS 96critères de regroupement des systèmes Host IPS 10déploiement Host IPS par phases 21régler les stratégies Host IPS par défaut 19regrouper de manière logique les clients Host IPS 21utiliser la protection IPS pour décaler l'impact des événements 10

migrationstratégies 24version de stratégie 7 ou 8 24

mise à jourarchivage des packages Host IPS 30méthodes Host IPS 31package de contenu Host IPS 30signatures, Host IPS 30

mise en œuvre des stratégiesclient Linux et 108Client Solaris et 105clients Host IPS et ePO 7Host IPS 9

mode adaptatifapplication 23avec IPS vs pare-feu 23FAQ 23règles créées de manière non automatique 23

mode adaptatif (suite)à propos de 10exception et 36mise des clients Host IPS en 22, 37réglage automatique 20Règles de pare-feu, stratégies 74stratégie Options de pare-feu 71stratégie Options IPS 38

mode d'apprentissageà propos de 10mise des clients Host IPS en 22règles de pare-feu 70Règles de pare-feu, stratégies 74stratégie Options de pare-feu 71

mots de passedéverrouillage de l'interface du client Windows 93pour la stratégie Interface utilisateur du client 84utilisation de l'outil de dépannage hipts 106

NNIPS (signatures de prévention des intrusions sur le réseau) 102niveaux de gravité, IPS

configuration et réglage de la protection 20définition des réactions pour 40événements et 53mappage avec une réaction 10réglage 10, 19stratégie Protection IPS 39utilisation des signatures 43

niveaux de sécurité des signaturestypes de 43

notifications, Host IPSà propos de 28catégories spécifiques à un produit prises en charge 28configuration 19règles et événements 28

Oonglet Hôtes bloqués, utilisation de 102options de ligne de commande

arrêt du client Solaris 108arrêt et redémarrage d'un client Linux 111client Solaris, redémarrage 108ClientControl.exe, automatisation de la mise à niveau 95vérification de l'exécution du client Linux 111vérification de l'exécution du client Solaris 108

Ppackages

mises à jour du contenu Host IPS 30pare-feu avec état

fonctionnement du filtrage avec état 67inspection des paquets, fonctionnement 68suivi de protocole 69

pare-feu, Host IPSinspection des paquets avec état 66, 68à propos de 8actions, autoriser et bloquer 67alertes 97autorisations pour 26filtrage avec état, fonctionnement 67filtrage des paquets avec état 66fonctionnement des règles de pare-feu 59groupes de règles 61

Index


pare-feu, Host IPS (suite)groupes de règles de pare-feu, création 77groupes de règles, selon l'emplacement 61groupes selon l'emplacement 77inspection des paquets avec état 66, 68liste de règles 75, 100, 101liste de règles de pare-feu, classement 59mode d'apprentissage et mode adaptatif 70options de journalisation 96Options de pare-feu, configuration 73personnalisation des options 101présentation 58règles de blocage DNS 78règles de client 14, 71règles de pare-feu 10, 74, 76Règles de pare-feu, configuration 75règles, autoriser et bloquer 59requêtes 14suivi de protocole avec état 69table d'état 66

portsconnexions et alertes de pare-feu 97connexions FTP et inspection des paquets avec état 68pare-feu et entrées de la table d'état 66trafic bloqué et règles de pare-feu 70

prévention des intrusions (IPS)enveloppement et blindage 33exceptions 36HIPS, à propos de 34interception des appels système 33méthodes de remise 33mode adaptatif et exceptions 36modification des règles d'exception 99moteurs et pilotes 33NIPS, à propos de 34options de journalisation 95options de journalisation de pare-feu 96personnalisation des options 99présentation 32réactions 36règles comportementales 35règles de client 14règles de client, présentation 56signatures, définies 34stratégie Protection IPS 39

prioritéIPS réseau et adresses IP 87liste de règles de pare-feu 59stratégie Réseaux approuvés 87stratégies générales, Host IPS et 82

processus surveillés, consultation 103profils d'usage

réglage des stratégies Host IPS 10regroupement des systèmes Host IPS 10

protection de baseHost IPS 7stratégies Host IPS par défaut 20

protection IPSactiver 37désactiver 37

protection par pare-feuactiver 71désactiver 71

protocolessuivi, et pare-feu avec état 69

Rréactions

à propos de 36alertes d'intrusion, réponse à 97alertes d'usurpation détectée, réponse à 98alertes de pare-feu, réponse à 97définition, pour des niveaux de gravité d'une signature 40mappage avec une gravité IPS 10Protection IPS, configuration 39types de 36

réglage Host IPSanalyse d'événements 18gestion des stratégies 10manuel et automatique 20mode adaptatif et mode d'apprentissage 22profils d'usage 10stratégies Applications approuvées 88stratégies par défaut et 19

règles comportementalesblindage et enveloppement 35définition d'une activité Host IPS légitime 35

règles d'exceptionà propos de 36agrégation et règles de client 56configuration de la stratégie Règles IPS 52création 52création, basée sur un événement 53Créer une exception 97définition 10événements et 53liste, client Windows et 99modification des stratégies IPS 99réglage automatique 22stratégie Règles IPS 40, 51utilisation 51

règles de blocage DNScréation et modification 78

règles de clientPare-feu 71, 79création d'exceptions 36création, avec le mode adaptatif et le mode d'apprentissage 10IPS 40Pare-feu 71, 79requêtes Host IPS 14stratégie Règles IPS, présentation 56

règles de pare-feucréation et modification 76

Règles de pare-feu, stratégiedéfinir 74

règles de protection des applicationsà propos de 37configuration 50création 51présentation 48processus, autorisés ou bloqués 48stratégie Règles IPS 37, 40, 51utilisation 48

requêtes, Host IPSactivités de suivi 14gestion des informations 13personnalisées, paramètres pour 14prédéfinies et personnalisées 14rapports 10


Index

Ssignatures

alertes et signatures NIPS 97configuration de la stratégie Règles IPS 44création avec la méthode expert 46création avec la méthode standard 46création Host IPS, personnalisées 46définition 34exceptions 36HIPS, à propos de 34Host IPS et IPS réseau 28Host IPS par défaut 43hôte 43IP hôte, et exceptions 97liste des règles d'exception 99NIPS, à propos de 34niveaux de gravité 43niveaux de gravité pour 39personnalisée 43réglage des stratégies Host IPS 10réseau 43stratégie Règles IPS 40types de 43utilisation 43utilisation de l'Assistant pour créer 47

signatures Host Intrusion Prevention 34signatures Network Intrusion Prevention 34signatures personnalisées

caractères génériques 117directives valides sous Linux 148directives valides sous Solaris 148directives valides sous Windows 137Linux 140Linux, UNIX_apache (HTTP) 143Linux, UNIX_file (Files) 140Linux, UNIX_misc 145présentation pour Linux et Solaris 140présentation pour Windows 119sections communes 114sections facultatives 116Solaris 140Solaris, UNIX_apache (HTTP) 143Solaris, UNIX_bo 146Solaris, UNIX_file (Files) 140Solaris, UNIX_GUID 147Solaris, UNIX_map 147Solaris, UNIX_misc 145structure d'une règle 113variables de valeurs de section 117Windows, Buffer Overflow 120Windows, directives pour plate-forme 137Windows, Files 121Windows, Hook 124Windows, Illegal 126Windows, Illegal API Use 125Windows, Isapi 126Windows, Program 129Windows, Registry 130Windows, Services 133Windows, SQL 136

stratégie à plusieurs instancesFAQ 42stratégie appliquée 42utilisation pendant le déploiement 42affectation 41, 90

stratégie Applications approuvéesà propos de 8création et modification 89définir 88faux positifs, réduction 82

Stratégie Applications approuvéesprésentation 82

stratégie appliquéeavec stratégies à plusieurs instances 42

Stratégie Blocage DNS du pare-feuà propos de 8présentation 58

stratégie Interface utilisateur du clientà propos de 8configuration 83contrôle de la barre d'état, configuration 84définir 83dépannage 86mots de passe 84onglet Général, configuration 84présentation 82

Stratégie Interface utilisateur du clientoptions 94

stratégie Ma stratégie par défautApplications approuvées 88Host IPS 9Interface utilisateur du client 83Options de pare-feu 71Options IPS 37Protection IPS 39Règles IPS 40Réseaux approuvés 87

stratégie McAfee par défautApplications approuvées 88Host IPS 9Interface utilisateur du client 83Options de pare-feu 71Options IPS 37Protection IPS 39Règles IPS 40Réseaux approuvés 87

stratégie Options de pare-feuà propos de 8configuration 73utilisation 71

Stratégie Options de pare-feuTrustedSource 73présentation 58

stratégie Options IPSà propos de 8configuration 38mode adaptatif 37stratégies prédéfinies 38utilisation 37

Stratégie Options IPSprésentation 32

stratégie Protection IPSà propos de 8configuration 40niveaux de gravité, définition 39réactions, définition 40utilisation 39

Stratégie Protection IPSprésentation 32

stratégie Règles de pare-feucaractères génériques 80

Index


stratégie Règles de pare-feu (suite)à propos de 8configuration 75groupes, création 77présentation 58règles de client, gestion 79

stratégie Règles IPScaractères génériques 47à propos de 8configuration 41, 50définir 40événements, utilisation de 53exceptions, configuration 41gestion des exceptions 52journalisation d'événements 37présentation 32règles d'exception 51règles de protection des applications 37, 48, 50règles de protection des applications, configuration 41signatures, configuration 41signatures, utilisation de 43

stratégie Réseaux approuvésà propos de 8configuration 87définir 87faux positifs, réduction 82priorité et 87

Stratégie Réseaux approuvésprésentation 82

stratégies de pare-feu, Host IPSprésentation des fonctions 58

stratégies générales, Host IPSautorisations pour 26page stratégie Applications approuvées 89présentation des fonctions 82

stratégies préconfiguréesApplications approuvées 88Interface utilisateur du client 83Options IPS 37Protection IPS 39Règles de pare-feu 74Réseaux approuvés 87

stratégies, Host IPSmigration 24affectation 20affichage des stratégies 18application des stratégies 9Blocage DNS du pare-feu 74catalogue de stratégies 18configuration des options IPS 38création 19définition 9

stratégies, Host IPS (suite)et leurs catégories 9gestion 18héritage 10ignorer, avec des exceptions client 10Options de pare-feu 71, 73où trouver 18par défaut, protection de base 7pare-feu (voir pare-feu, Host IPS) 8plusieurs instances 41, 90présentation des fonctions 8, 32profils d'usage et réglage 10propriétaire affecté 9protection prédéfinie 10réglage des paramètres par défaut 19règles de client, création d'exceptions 10Règles de pare-feu 74, 75réponse aux alertes 98

structure d'une règlesignatures personnalisées 113

Ttable d'état, pare-feu

fonctions 66présentation 66

tableaux de bordaffichage de la conformité et des problèmes liés à Host IPS 19gestion des informations dans Host IPS 13moniteurs Host IPS par défaut 13requêtes et Host Intrusion Prevention 10

tâche de Traducteur de propriétés Host IPS 28tâches serveur, Host IPS

archivage des mises à jour 30Exécuter une requête 28Exporter les requêtes 28Exporter les stratégies 28Extraction du référentiel 28gestion du déploiement 26, 28Purger le journal des événements 28Purger le journal des événements de menace 28Traducteur de propriétés 28

TrustedSourcedéfinition 73FAQ 73principes de fonctionnement 73stratégie Options de pare-feu Host IPS 73

Uutilitaires

ClientControl.exe, automatisation de la mise à niveau 95


Index