Home

McAfee Host Intrusion Prevention 8.0

image

Contents

1. 6 Wechseln Sie zu Client Tasks und klicken Sie dann auf Neuer Task ePolicy Orchestrator 4 0 bzw w hlen Sie die Optionsfolge Aktionen Neuer Task ePolicy Orchestrator 4 5 und h her 7 Vergeben Sie im Assistenten des Generators f r Client Tasks einen Namen f r den Task w hlen Sie in der Task Liste den Eintrag Produktausbringung aus und klicken Sie dann auf Weiter 8 W hlen Sie die Client Plattform dann Host Intrusion Prevention 8 0 als das zu installierende Produkt und klicken Sie auf Weiter 9 Planen Sie die Ausf hrung des Tasks klicken Sie auf Weiter und dann auf Speichern Sollten Sie den Task zur sofortigen Ausf hrung vorgesehen haben f hren Sie die Agentenreaktivierung durch Lokale Installation des Solaris Clients 44 Sie k nnen die Client Software auch lokal also ohne ePolicy Orchestrator zu verwenden auf einem Solaris Server installieren Kopieren Sie hierzu die Client Installationsdatei auf den Client Computer und f hren Sie den entsprechenden Befehl aus Ist eine Vorg ngerversion des Clients vorhanden deaktivieren Sie unbedingt den IPS Schutz bevor Sie einen Installationsversuch unternehmen HINWEIS Der Client kann nur in der globalen Zone installiert werden unterst tzt jedoch lokale Zonen McAfee Host Intrusion Prevention 8 0 Installationshandbuch Installieren des Solaris Clients Anwenden von Richtlinien und IPS Inhaltsaktualisierungen Task 1 Laden Sie die Dateien MFEhip pkg und instal
2. Diese Richtlinien wurden in Version 8 0 entfernt Nachdem diese Richtlinien zu IPS Regelrichtlinien migriert wurden sind ihre Anwendungsschutzregeln leer und die Ausnahmeliste umfasst alle vertrauensw rdigen Standardanwendungen die auf Vertrauensw rdig f r Application Hooking festgelegt sind Damit Sie diese migrierte Richtlinie verwenden k nnen m ssen Sie in einer Einstellung mit mehreren Richtlinieninstanzen auch die Richtlinie Meine Standard IPS Regeln zuweisen da diese durch die Inhaltsaktualisierungen die neueste Anwendungsschutzliste enth lt HINWEIS Anwendungen bei denen das Einklinken in den Richtlinien f r die Anwendungsblockierungsregeln gesperrt ist werden nicht migriert und m ssen den Anwendungsschutzregeln in der IPS Regelrichtlinie nach der Migration manuell hinzugef gt werden Die Richtlinien f r die Firewall Quarant ne Optionen werden nicht migriert Diese Richtlinien wurden in Version 8 0 entfernt Die Richtlinien f r die Firewall Quarant ne Regeln werden nicht migriert Diese Richtlinien wurden in Version 8 0 entfernt IPS Client Regeln und Firewall Client Regeln werden nicht migriert HINWEIS Richtlinienzuweisungen werden bei der Migration automatisch bernommen wenn die Vererbung nicht unterbrochen wurde berpr fen Sie die Richtlinienzuweisungen immer nach dem Migrieren von Richtlinien Migrationszenarien Die Migration von Richtlinien zu Version 8 0 erfolgt f r 6 1 und 7 0 Richtlini
3. Firewall Regeln blockieren den gesamten eingehenden Verkehr bevor die Firewall Dienste gestartet werden Zus tzliche Firewall Richtlinie Firewall DNS Blockierung die aus einer Reihe zu blockierender Dom nennamenmuster besteht Mit dieser Richtlinie wird die Dom nenregel ersetzt die die DNS Aufl sung f r vom Benutzer angegebene Dom nennamen blockiert hat Neue Funktionen f r die Richtlinie f r Firewall Regeln Firewall Regeln sind viel flexibler Eine einzelne Regel kann nun mehrere Anwendungen fr her nur eine mehrere Netzwerke fr her nur eines ein lokales Netzwerk und ein Remote Netzwerk fr her nur ein Remote Netzwerk und zus tzlich zu drahtgebundenen und drahtlosen Medientypen auch einen VPN Medientyp umfassen Bei Verbindungsgruppen CAG Connection Aware Group handelt es sich nun einfach um Firewall Gruppen die ber Standortinformationen und Zeitpl ne mit zeitbasiertem Zugriff auf ihnen zugeordnete Verbindungen verf gen Die bereinstimmung ausf hrbarer Dateien f r Anwendungen wird bei Firewall Regeln nun nach Pfad Hash digitaler Signatur und Dateibeschreibung und nicht nur nach Pfad und Hash vorgenommen McAfee Host Intrusion Prevention 8 0 Installationshandbuch Installieren von McAfee Host Intrusion Prevention Neuheiten in dieser Version Allgemein e Die Richtlinien f r Anwendungsblockieroptionen und Anwendungsblockierregeln wurden entfernt und ihre Funktionalit t wurde durch zwei Inhaltssignatu
4. Host IPS Advanced Erweiterung Automatisches Antworten Hilfeinhalt hip_800_help ePO Hilfe mit Host Intrusion Prevention 8 0 Informationen HOSTFW_8000_46 zip Host Intrusion Prevention 8 0 0 Firewall Funktion Host IPS Advanced Erweiterung Automatisches Antworten Inhalt der Hilfe hip_800_help ePO Hilfe mit Host Intrusion Prevention 8 0 Informationen Nur g ltig wenn die Host Intrusion Prevention 8 0 0 Erweiterung installiert ist Tabelle 4 IPS und Firewall Funktionen McAfee Dateiname Erforderliche Erweiterungen Funktionalitat ePO Version HOSTIPS_8000 zip Host Intrusion Prevention 8 0 0 Firewall Funktion HostIPSLicense zip Host IPS Lizenzerweiterung IPS Funktion help_epo_103x zip ePO Hilfe ePO Hilfe mit Host Intrusion Prevention 8 0 Informationen HOSTIPS_8000_45 zip Host Intrusion Prevention 8 0 0 Firewall Funktion Host IPS Advanced Erweiterung Automatisches Antworten Host IPS Lizenzerweiterung IPS Funktion Inhalt der Hilfe hip_800_help ePO Hilfe mit Host Intrusion Prevention 8 0 Informationen HOSTIPS_8000_46 zip Host Intrusion Prevention 8 0 0 Firewall Funktion Host IPS Advanced Erweiterung Automatisches Antworten Host IPS Lizenzerweiterung IPS Funktion McAfee Host Intrusion Prevention 8 0 Installationshandbuch 29 Installieren von ePolicy Orchestrator Installieren der Erweiterung McAfee Dateiname Erforderliche Erweiterungen Funktionalitat ePO Version Inhalt der Hilfe hip_800_help ePO Hilfe mit
5. e Die Host IPS 8 0 Erweiterung verwaltet nur Host IPS 8 Clients Fr here Client Versionen k nnen nicht unterst tzt werden e Der IPS und Firewall Schutz wird nach der ersten Installation auf dem Client deaktiviert und muss von der Anwendung einer Richtlinie aktiviert werden e Auf allen Plattformen kann die Aktualisierung von der Testversion auf die lizenzierte Version von ePolicy Orchestrator ohne erneute Installation eines Clients vorgenommen werden McAfee Host Intrusion Prevention 8 0 Installationshandbuch Bewahrte Vorgehensweisen fur einen einfachen Weg zum Erfolg McAfee Host Intrusion Prevention bietet Ihrem Unternehmen einen hohen Wert durch die Senkung der H ufigkeit und Dringlichkeit der Installation von Patches die Gew hrleistung von Gesch ftsbetrieb und Mitarbeiterproduktivit t den Schutz der Vertraulichkeit von Daten und Unterst tzung f r die Vorschriften Compliance Es bietet ein signatur und verhaltensorientiertes Eindringungsschutzsystem IPS Intrusion Prevention System und eine zustandsorientierte Firewall um s mtliche Endpunkte Desktop Computer Laptops und Server vor bekannten und unbekannten Bedrohungen zu sch tzen Erste Schritte Alle Elemente die Benutzer und gesch ftsrelevante Anwendungen betreffen m ssen unter Wahrung der Sorgfalt ausgebracht werden um St rungen der Gesch ftst tigkeit zu verhindern In diesem Abschnitt wird ein Rollout des Produkts erl utert das in kleine leicht zu bew
6. e Server auf denen dedizierte Datenbank Web E Mail Anwendungen und andere Anwendungen ausgef hrt werden sowie Druck und Dateiserver Labor oder reale Welt In vielen Unternehmen sind Labortests als Standardschritt bei der Installation neuer Produkte erforderlich Sie erstellen Abbilder von Produktionssystemen und testen die Abbilder vor dem Rollout in einer kontrollierten Umgebung Mit McAfee Host Intrusion Prevention bietet diese Methode die schnellste Grundlage an Regeln aber es ist der ineffektivste Gesamtvorgang da die Benutzervariable ausgelassen wird Tester stellen das Benutzerverhalten k nstlich nach Daher ist es unwahrscheinlich dass sie authentische Einzelheiten zu berechtigten Aktivit ten erfassen Benutzer und Malware finden immer neue Verwendungsm glichkeiten mit denen Ereignisse erzeugt werden die unmittelbar gepr ft werden m ssen oder deren Erkennung umgangen wird wenn sie unwissentlich als Ausnahme zum normalen Verhalten zugelassen wurden Beide F lle kosten Zeit und k nnen sp ter zu Problemen f hren Die meisten Lernerfolge werden bei realen Systemen in einer Produktionsumgebung erzielt Bei den besten Produktionstests werden sorgf ltig ausgew hlte Systeme und objektive Benutzer verwendet die allt gliche Aufgaben ausf hren Diese Methode bietet die zuverl ssigste Basis da reale Benutzer ihre Systeme und Anwendungen ndern Sie k nnen sofort Feedback zu den Auswirkungen der nderungen geben McA
7. 4 e Microsoft Forefront UAG 2010 e Microsoft VPN e NCP Secure Entry Client f r Win32 64 e NetMotion Mobility XE 7 2 e Nortel Contivity VPN Client 10 x e SafeNet HARemote v2 0 VPN Clients e SonicWALL Global VPN Client 4 0 e WatchGuard VPN Unterstiitzte Virtualisierungsplattform e VMware ESX 3 5 4 0 e VMware Vsphere 4 0 e VMware View 4 3 1 4 0 e VMware Thin App 4 0 4 5 e VMware ACE 2 5 2 6 e VMware Workstation 6 5 7 0 e VMware Player 2 5 3 0 e VMware Server 1 0 2 0 e Citrix Xen Server 5 0 5 5 e Citrix Xen Desktop 3 0 4 0 e Citrix Xen App 5 0 6 0 e Microsoft Hyper V Server 2008 2008 R2 McAfee Host Intrusion Prevention 8 0 Installationshandbuch Installieren des Windows Clients Remote Installation des Windows Clients Microsoft Windows Server 2008 Hyper V 2008 2008 R2 Microsoft VDI Bundle e MED V 1 0 1 0 SP1 e App V 4 5 4 6 e SCVMM 2008 2008 R2 e SCCM 2007 SP2 2007 R2 e SCOM 2007 2007 R2 Microsoft App V 4 5 4 6 XP Mode Windows 7 32 und 64 Bit Version Unterst tzte Datenbanken MS SQL 2000 MS SQL 2005 MS SQL 2008 2008 R2 Remote Installation des Windows Clients Wenn Sie den Client ber den ePO Server ausbringen m chten f gen Sie dem ePolicy Orchestrator Master Repository das zugeh rige Ausbringungspaket hinzu und bringen es dann auf den Client Computern aus Ausf hrlichere Informationen finden Sie im ePolicy Orchestrator Produkthandbuch Task 1 W hlen Sie die Op
8. Clients werden in der Systemstruktur in bestimmten Berichten und in den durch Aktivit ten des Clients erzeugten Ereignisdaten durch Ihren Namen identifiziert berpr fen der Integrit t von Pilotsystemen Nachdem die Clients nun identifiziert sind m ssen Sie sicherstellen dass keine Systemfehler vorhanden sind die die Bereitstellung beeintr chtigen k nnen berpr fen Sie die relevanten Protokolldateien f r den ePO Server sowie die Systemereignisprotokolle Suchen Sie nach Fehlern die auf eine nicht ordnungsgem e Konfiguration und auf Systemanomalien hinweisen und vor dem Installieren von McAfee Host Intrusion Prevention behoben werden m ssen Es folgen einige wichtige Elemente nach denen gesucht werden sollte Patch Status Sind alle Treiber und Anwendungen auf dem aktuellen Stand Es ist bekannt dass ltere Medien und Audio Player Internet Explorer und Treiber f r Netzwerkkarten Inkonsistenzen hervorrufen die Fehler in der Bereitstellung verursachen Wenden Sie die aktuellen Patches und Hotfixes an e Inkompatible Software Werden andere Angriffserkennungs oder Firewall Anwendungen auf dem Host ausgef hrt Sie m ssen diese deaktivieren oder entfernen e Administratorzugriff Sie m ssen ber Administratorzugriff f r das System verf gen Beachten Sie ob der Benutzer auch ber Administratorzugriff verf gt Warum Benutzer st ren m glicherweise den Testprozess wenn sie w hrend des Tests eine neue Anwendung ins
9. Erfahrungen k nnen die Probleme mit einem hohen Schweregrad durch die IPS Funktion mit hoher Genauigkeit abgedeckt werden McAfee hat beispielsweise aufgezeigt dass 90 Prozent oder mehr der Probleme des Patch Dienstags von Microsoft mithilfe der sofort einsatzbereiten Basisschutzstufe abgeschirmt wurden Selbst das Aktivieren des Standardschutzes bietet einen betr chtlichen sofortigen Wert Die Strategie des einfachen Starts wird dringend empfohlen Server sind m glicherweise die wichtigsten Systeme die gesch tzt werden m ssen aber sie stellen wahrscheinlich auch die schwierigsten Systeme dar Sie erfordern mehr Aufmerksamkeit bei der Bereitstellung da IPS Regeln zwangsl ufig so angepasst werden m ssen dass legitime Anwendungsvorg nge zugelassen werden und die sorgf ltige Leistungs und Systemoptimierung auf den meisten Servern widergespiegelt wird Das Abstimmen von Regeln nach der Methode Versuch und Irrtum kann auf realen und unternehmenskritischen Systemen gef hrlich sein Ebenso verf gen Hauptbenutzersysteme meist ber unterschiedliche Anwendungen und spezielle Rechte wie das Recht zum Ausf hren von Skripts Durch das Aktivieren von IPS kann eine McAfee Host Intrusion Prevention 8 0 Installationshandbuch 15 16 Bew hrte Vorgehensweisen f r einen einfachen Weg zum Erfolg 1 Entwickeln einer Strategie Vielzahl von Ereignissen erzeugt werden die genau berpr ft werden m ssen um entsprechende Berechtigungen oder Bl
10. Netzwerkanforderungen f r den Windows Client f r Workstations oder Server e Prozessor Intel oder AMD x86 und x64 e Freier Speicherplatz Client 15 MB w hrend der Installation jedoch 100 MB e Arbeitsspeicher 256 MB RAM e Netzwerkumgebung Microsoft oder Novell NetWare Netzwerke F r NetWare Netzwerke ist TCP IP Transmission Control Protocol Internet Protocol erforderlich e NIC Netzwerkkarte 10 Mb s oder leistungsf higer Unterst tzte Betriebssysteme Windows XP SP2 SP3 nur 32 Bit Version e Professional Edition Windows Vista Vista SP1 32 und 64 Bit Version e Business Edition e Enterprise Edition e Ultimate Edition McAfee Host Intrusion Prevention 8 0 Installationshandbuch 35 36 Installieren des Windows Clients Details zum Windows Client Windows 7 32 und 64 Bit Version e Professional Edition e Enterprise Edition e Ultimate Edition Windows Server 2003 SP2 2003 R2 2003 R2 SP2 32 und 64 Bit Version e Alle Editionen Windows Server 2008 2008 SP1 2008 SP2 2008 R2 32 und 64 Bit Version e Alle Editionen Unterstiitzte VPN Clients Virtual Private Network virtuelles privates Netzwerk e AT amp T Global Network Services Client 7 6 8 1 e CheckPoint VPN Client R60 R71 e Cisco IPSec VPN Client Version 5 0 e Cisco SSL VPN Client 2 4 e Citrix SSL 4 5 6 e F5 Firepass 1200 6 1 6031 2009 1010 312 e iPass 3 5 e Juniper Netscreen VPN Client 10 7 e Juniper Network Connect SSL VPN v6
11. Schutz nicht auf eine bestimmte Zone beschr nkt werden kann Der Code f r diese Regel w rde wie folgt lauten Rule McAfee Host Intrusion Prevention 8 0 Installationshandbuch 43 Installieren des Solaris Clients Remote Installation des Solaris Clients file Include tmp test log zone Include app_zone aay Weitere Informationen zur Bearbeitung von Signaturen finden Sie im Produkthandbuch bzw in der Hilfe in Anhang A Schreiben von benutzerdefinierten Signaturen Remote Installation des Solaris Clients Wenn Sie den Client ber den ePO Server ausbringen m chten f gen Sie dem ePolicy Orchestrator Master Repository das zugeh rige Ausbringungspaket hinzu und bringen es dann auf den Client Computern aus Ausf hrlichere Informationen finden Sie im ePolicy Orchestrator Produkthandbuch Task 1 Wahlen Sie die Optionsfolge Software Master Repository und klicken Sie dann auf Paket einchecken ePolicy Orchestrator 4 0 bzw w hlen Sie die Optionsfolge Aktionen Paket einchecken ePolicy Orchestrator 4 5 oder h her 2 W hlen Sie Produkt oder Aktualisierung ZIP aus und klicken Sie dann auf Durchsuchen 3 Machen Sie die zip Datei des Host IPS Client Pakets ausfindig und klicken Sie dann auf ffnen 4 Klicken Sie auf Weiter und dann auf Speichern 5 W hlen Sie die Optionsfolge Systeme Systemstruktur und w hlen Sie dann die Systemgruppe aus in der die Client Komponente installiert werden soll
12. Sie die Optionsfolge Systeme Systemstruktur und w hlen Sie dann die Systemgruppe aus in der die Client Komponente installiert werden soll 6 Wechseln Sie zu Client Tasks und klicken Sie dann auf Neuer Task ePolicy Orchestrator 4 0 bzw w hlen Sie die Optionsfolge Aktionen Neuer Task ePolicy Orchestrator 4 5 und h her 7 Vergeben Sie im Assistenten des Generators f r Client Tasks einen Namen f r den Task w hlen Sie in der Task Liste den Eintrag Produktausbringung aus und klicken Sie dann auf Weiter 8 W hlen Sie die Client Plattform dann Host Intrusion Prevention 8 0 0 als das zu installierende Produkt und klicken Sie auf Weiter McAfee Host Intrusion Prevention 8 0 Installationshandbuch Installieren des Linux Clients Lokale Installation des Linux Clients 9 Planen Sie die Ausf hrung des Tasks klicken Sie auf Weiter und dann auf Speichern Sollten Sie den Task zur sofortigen Ausf hrung vorgesehen haben f hren Sie die Agentenreaktivierung durch HINWEIS Wenn Sie den Client von Version 7 1 0 aktualisieren m chten m ssen Sie das Linux System neu starten Lokale Installation des Linux Clients Sie k nnen die Client Software auch direkt also ohne ePolicy Orchestrator zu verwenden auf einem Solaris Server installieren Kopieren Sie hierzu die Client Installationsdatei auf den Client Computer und f hren Sie den entsprechenden Befehl aus Ist eine Vorg ngerversion des Clients vorhanden deaktivieren Sie unbed
13. a nn en 30 Entfernen der Erweiterung 31 Migrieren von Richtlinien 32 Migrieren von Richtlinien aus fr heren Versionen 2esesnnnneenn nennen nennen nen 33 Migrieren von Richtlinien ber eine SM Date 34 Installieren des Windows Clients 00 000 c cece cece eee teen eee eee 35 Details zum Windows Glient 4 ccna cee ers 35 Remote Installation des Windows Clients 0 c eects 37 Lokale Installation des Windows Clients 0 0 cece eect eee eens 38 Anwenden von Richtlinien und IPS Inhaltsaktualisierungen 6 e cece ee eee eee 38 Entfernen des Windows Clients 0000 cece eee cece ence eee nn nn nn 39 Fehlerbehebung bei Windows Installationsproblemen ccc cee eee tenes 39 Anhalt n d s Windows Cle nts 8 8 dere eTR diet eid nienti ee en 41 Neustarten des Windows Clients 2 SEELEN ane Sa a a a ead ae ale 41 Installieren des Solaris Clients 00 000 c cece cece eee eee eee e ened 42 Details et Solanis Che ntsc sen a es a aire ees d aaa aie Fae Reha E d ane ee 42 Remote Installation des Solaris Clients 0 cece nennen nennen nenn 44 McAfee Host Intrusion Prevention 8 0 Installationshandbuch Inhaltsverzeichnis Lokale Installation des Golats Chents 0 ccc cette eee eee eee eee ee 44 Anwenden von Richtlinien und IPS Inhaltsaktualisierungen 6 cece eee eee eee 45 Entfernen des Solaris Glients ur una en a en KANNER e dsb Mr 45 Fehlerb
14. berschrieben Dieser Vorgang ist nicht selektiv da alle vorhandenen Richtlinien von Version 6 1 oder 7 0 migriert werden Wenn Sie Richtlinien selektiv migrieren m chten m ssen Sie die Migration ber eine XML Datei vornehmen Migrieren von Richtlinien ber eine XML Datei Wenn die McAfee Host Intrusion Prevention 6 1 oder 7 0 Erweiterung nicht installiert ist und Sie ausgew hlte einzelne Richtlinien zuvor in eine XML Datei exportiert haben oder Richtlinien selektiv migrieren m chten m ssen Sie die Migration ber eine XML Datei vornehmen Der Vorgang beinhaltet das Exportieren von 6 1 oder 7 0 Richtlinien in das XML Format das Konvertieren des Inhalts der XML Datei in McAfee Host Intrusion Prevention 8 0 Richtlinienversionen und das anschlie ende Importieren der migrierten XML Datei in den Host IPS 8 0 Richtlinienkatalog Vorbereitung Dieser Vorgang kann nur verwendet werden wenn bereits eine XML Datei mit exportierten Richtlinien vorliegt Klicken Sie auf der Seite Richtlinienkatalog oder auf der Seite der entsprechenden Host IPS Richtlinie auf Exportieren um die Richtlinien in eine XML Datei zu exportieren Aufgabe 1 Klicken Sie auf Automatisierung Host IPS Richtlinienmigration 2 Klicken Sie unter Aktion bei den Host IPS 7 0 Richtlinien in einer XML Datei auf Migrieren 3 Wahlen Sie im Dialogfeld mit der Richtlinien XML Datei de XML Datei der Host IPS Version 6 1 oder Host IPS Version 7 0 aus die migriert werden soll u
15. ist berpr fen dass Ereignisse hinsichtlich des Eindringungsschutzsystems auf Host Ebene vorschriftsm ig ausgel st werden Nachdem Sie sich vergewissert haben dass der Client ordnungsgem installiert wurde und ausgef hrt wird m ssen Sie pr fen ob der IPS Schutz erwartungsgem funktioniert Stellen Sie zun chst sicher dass das Eindringungsschutzsystem auf Host Ebene aktiviert ist in der Client Konsole Erstellen Sie dann ein neues Textdokument im Client Installationsverzeichnis C Programme McAfee Host Intrusion Prevention Diese Aktion sollte unterbunden werden und es sollte eine Fehlermeldung ausgegeben werden die besagt dass Sie zum Speichern an diesem Speicherort nicht berechtigt sind Ziehen Sie die Datei HipShield log zurate und durchsuchen Sie sie von unten nach oben nach einem Versto Vergewissern Sie sich dass folgende Signatur ausgel st wurde 1001 Windows Agent Shielding File Modification 1001 Windows Agent Abschirmung Dateimodifizierung McAfee Host Intrusion Prevention 8 0 Installationshandbuch Installieren des Windows Clients Anhalten des Windows Clients Anhalten des Windows Clients Im Rahmen der Fehlerbehebung m ssen Sie einen derzeit ausgef hrten Client m glicherweise anhalten und neu starten Task 1 Deaktivieren Sie den IPS Schutz wenn er aktiviert ist Verwenden Sie eine der folgenden Vorgehensweisen e Legen Sie in der ePO Konsole f r IPS Optionen den Wert Aus fest und wend
16. kann Inhaltsaktualisierungen nur ber den McAfee Agent Befehl Jetzt aktualisieren abrufen vorausgesetzt der Host Intrusion Prevention Administrator hat den Aktualisierungsprozess entsprechend konfiguriert Einzelheiten zu diesen Vorg ngen finden Sie im Abschnitt Aktualisierungen zum Host IPS Schutz im McAfee Host Intrusion Prevention Produkthandbuch Befolgen Sie die im ePolicy Orchestrator Produkthandbuch aufgef hrten Vorgehensweisen bei der Ausbringung von Produkt Patches und Produktaktualisierungen ber die ePO Konsole Achten Sie beim Installieren von Produkt Patches Produktaktualisierungen stets darauf dass der IPS Schutz nicht aktiviert ist und befolgen Sie die in diesem Kapitel erl uterten Schritte zur Produktinstallation McAfee stellt ein Dienstprogramm client_control exe zur Automatisierung von Aktualisierungen und anderen Wartungs Tasks bereit f r den Fall dass Host Intrusion Prevention mithilfe von Drittanbieter Software auf Client Computern installiert wird Dieses im Client Paket erh ltliche Befehlzeilendienstprogramm l sst sich in Installations und Wartungsskripte einbinden um den IPS Schutz vor bergehend zu deaktivieren und Protokollierungsfunktionen zu aktivieren Weitere Hinweise zur Nutzung einschlie lich verwendeter Parameter und Sicherheitsinformationen finden Sie in Anhang B Dienstprogramm Clientcontrol exe des McAfee Host Intrusion Prevention Produkthandbuchs McAfee Host Intrusion Prevention 8 0
17. ltigende Stufen aufgeschl sselt ist So k nnen der Schutz vorsichtig erh ht Richtlinien genau auf die Unterst tzung f r gesch ftsbezogene Besonderheiten abgestimmt und die Ver nderungen f r die Benutzer klein gehalten werden Dieser schrittweise aber kontinuierliche Vorgang bietet maximalen Schutz bei minimalem Verwaltungsaufwand und erstreckt sich ber einen bis drei Monate Wenn Sie IPS und Firewall Schutz erworben haben wird empfohlen mit der IPS Funktion zu beginnen sofern die Firewall aufgrund gesetzlicher Vorschriften oder risikobezogener Erw gungen f r Sie nicht von vorrangiger Bedeutung ist Die IPS Funktion umfasst entscheidenden universell erforderlichen Schutz gegen bekannte Risiken und Zero Day Bedrohungen Sie k nnen McAfee Host Intrusion Prevention mit den vordefinierten Richtlinieneinstellungen von McAfee und nur geringem Zeitaufwand schnell einrichten und so Systeme gegen Schwachstellen und Angriffe sch tzen Nach der Aktivierung des IPS Schutzes k nnen Sie dann die Aktivierung der Firewall vornehmen Die hier beschriebene Einf hrungsstrategie gilt f r das Firewall Rollout Die konkreten Richtlinien Reaktionen und Regeln sind jedoch fallabh ngig HINWEIS Verwenden Sie die hier beschriebene Strategie wenn Sie nur den Firewall Schutz erworben haben oder die Firewall einfach zuerst ausbringen m chten Details zur Definition und Aktivierung von Firewall Richtlinien k nnen Sie dem Produkthandbuch oder der Hilfe
18. zu definieren und den Schutz zu implementieren Sie k nnen diesen Schritt ausf hren wenn Sie den Basisschutz eingerichtet und sich mit den IPS Signaturen und Richtlinien vertraut gemacht haben Benachrichtigen der Benutzer und Planen der Au erkraftsetzung Benachrichtigen Sie vor der Aktivierung des IPS Schutzes die Benutzer dar ber dass sie einen neuen Schutz erhalten und sie das System in bestimmten F llen au er Kraft setzen k nnen Mit dieser Mitteilung wird das angenommene Risiko f r die Benutzerproduktivit t reduziert die insbesondere f r Benutzer wichtig ist die mit Laptops von unterwegs aus zugreifen Damit die IPS Blockierung vom Benutzer au er Kraft gesetzt werden kann muss der Administrator den Benutzern Folgendes bereitstellen Ein Kennwort f r einen begrenzten Zeitraum e Anweisungen zum Deaktivieren von Funktionen e M glichkeit zum Entfernen von Host IPS falls erforderlich Sie sollten diese Problemumgehungen nicht zu gro z gig aush ndigen Schlie lich m chten Sie nicht dass Benutzer das Rollout untergraben Zwei dieser Problemumgehungen werden spater im Pilot entfernt Einzelheiten finden Sie im Produkthandbuch unter Definieren der Client Funktionalit t Kontaktieren des Helpdesk Teams Lassen Sie den Helpdesk wissen dass Sie dabei sind Host IPS zu aktivieren Obwohl es nur wenige Probleme geben d rfte sollte der Helpdesk vorbereitet sein um Symptome zu erkennen die bei einer Aktivierung des IPS Sc
19. Aktivit tstypen ber diese Gewohnheit verschaffen Sie sich Basiswissen zu dem normalen Betrieb und blichen Aktivit tsmustern Bei der t glichen berwachung sollten Sie beispielsweise auf regul re Vorg nge und Aktivit tsniveaus f r Server Wartung und die Aktualisierung von Anwendungen achten Ausgehend von diesem Wissen k nnen Sie ungew hnliche Aktivit ten unmittelbar zum Zeitpunkt ihres Auftretens erkennen McAfee Host Intrusion Prevention 8 0 Installationshandbuch 21 Bew hrte Vorgehensweisen f r einen einfachen Weg zum Erfolg 4 Grundanpassung Die tagliche Durchsicht erleichtert es Ihnen Regeln Richtlinien und Ausnahmen im Zusammenhang mit neu auftretenden Ereignissen zu optimieren Host IPS erlaubt eine fein abgestimmte Kontrolle da alle System und API Aufrufe berwacht und diejenigen blockiert werden die Sch den anrichten k nnten hnlich wie bei Netzwerk IPS m ssen Regeln von Zeit zu Zeit in dem Ma weiter angepasst werden in dem sich Anwendungen der gesch ftliche Bedarf und Richtlinienanforderungen ndern Zu den Aufgaben der fortlaufenden Wartung f r eine Host IPS Ausbringung z hlen die berwachung und Analyse von Vorg ngen und ein entsprechendes Reaktionsverhalten das ndern und Aktualisieren von Richtlinien sowie das Ausf hren von Aufgaben im System darunter das Einrichten von Benutzerberechtigungen Server Tasks Benachrichtigungen und die Aktualisierung von Inhalten Diese Aktivit ten m ssen unt
20. Hi McAfee McAfee Host Intrusion Prevention 8 0 Installationshandbuch COPYRIGHT Copyright 2010 McAfee Inc Alle Rechte vorbehalten Diese Publikation darf in keiner Form und in keiner Weise ohne die schriftliche Genehmigung von McAfee Inc oder ihren Lieferanten und angeschlossenen Unternehmen ganz oder teilweise reproduziert bermittelt bertragen in einem Abrufsystem gespeichert oder in eine andere Sprache bersetzt werden MARKEN AVERT EPO EPOLICY ORCHESTRATOR FOUNDSTONE GROUPSHIELD INTRUSHIELD LINUXSHIELD MAX MCAFEE SECURITYALLIANCE EXCHANGE MCAFEE NETSHIELD PORTALSHIELD PREVENTSYS SECURITYALLIANCE SITEADVISOR TOTAL PROTECTION VIRUSSCAN WEBSHIELD sind eingetragene Marken oder Marken von McAfee Inc und oder der Tochterunternehmen in den USA und oder anderen L ndern Die Farbe Rot in Verbindung mit Sicherheit ist ein Merkmal der McAfee Produkte Alle anderen eingetragenen und nicht eingetragenen Marken in diesem Dokument sind alleiniges Eigentum der jeweiligen Besitzer INFORMATIONEN ZUR LIZENZ Lizenzvereinbarung HINWEIS F R ALLE BENUTZER LESEN SIE DEN LIZENZVERTRAG F R DIE VON IHNEN ERWORBENE SOFTWARE SORGF LTIG DURCH ER ENTH LT DIE ALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN F R DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE WENN SIE NICHT WISSEN WELCHEN SOFTWARE LIZENZTYP SIE ERWORBEN HABEN SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITEREN UNTERLAGEN BEZ GLICH DER LIZENZGEW HRUNG ODER DEN BESTELLUNTER
21. Host Intrusion Prevention 8 0 Informationen Nur g ltig wenn die Host Intrusion Prevention 8 0 0 Erweiterung installiert ist Die einzelnen Erweiterungen fiir ePolicy Orchestrator 4 5 und 4 6 enthalten mehrere ZIP Dateien die als separate Erweiterungen installiert werden eine f r jeden Funktionalit tstyp wie oben aufgef hrt Wenn Sie Host Intrusion Prevention 8 0 f r ePolicy Orchestrator 4 0 installiert haben und eine Aktualisierung auf Version 4 5 oder 4 6 vornehmen m ssen Sie zwei zus tzliche Erweiterungen installieren die Host IPS Advanced Erweiterung HostIpsAdv zip und die Hilfeinhaltserweiterung help_hip_800 zip Installieren Sie dazu die einzelne Host Intrusion Prevention Erweiterung f r die entsprechende Version von ePolicy Orchestrator oder ffnen Sie die einzelne Erweiterung und installieren Sie die fehlenden Erweiterungen Der Inhalt der einzelnen Erweiterungs ZIPs lautet folgenderma en Tabelle 5 Inhalt der aus mehreren ZIPs bestehenden Erweiterungen HOSTFW_8000_45 zip HOSTFW_8000_46 zip HOSTIPS_8000_45 zip __HOSTIPS_8000_46 zip e HOSTIPS_8000 zip e HOSTIPS_8000_Lite zip HOSTIPS_8000 zip HOSTIPS_8000_Lite zip e HostIpsAdv zip e HostIpsAdv zip HostIPSLicense zip HostIPSLicense zip e help_hip_800 zip e help_hip_800 zip HostIpsAdv zip zip HostIpsAdv zip help_hip_800 zip help_hip_800 zip Inhalt gt Installieren der Erweiterung gt Entfernen der Erweiterung Installieren der Erweiterung 30 F
22. Installationshandbuch Installieren des Windows Clients Entfernen des Windows Clients Entfernen des Windows Clients Der Host Intrusion Prevention Client kann per Remote Vorgang entfernt werden F hren Sie hierzu ber den ePolicy Orchestrator Server oder direkt auf dem Client Computer einen Ausbringungs Task aus Uber den ePO Server e F hren Sie einen Ausbringungs Task f r den Client aus und w hlen Sie als Aktion f r Host Intrusion Prevention die Option Entfernen aus Direkt auf dem Client Computer Ist der Zugriff auf die Client Konsole ber das Symbol in der Taskleiste nicht m glich ndern Sie dies entsprechend um das Entfernen des Clients zu erm glichen Task 1 W hlen Sie ber den ePO Server das System aus von dem Sie die Software entfernen m chten 2 _Erzwingen Sie die Richtlinienoption Produkt in der Liste Software anzeigen der Host Intrusion Prevention Benutzeroberfl che 3 Legen Sie f r den Ausbringungs Task f r Host Intrusion Prevention den Wert Ignorieren fest 4 Entsperren Sie auf dem Client Computer die Client Schnittstelle mit dem entsprechenden Kennwort 5 Heben Sie die Auswahl von Host IPS aktivieren auf 6 Verwenden Sie die Option Software in der Systemsteuerung um Host Intrusion Prevention zu entfernen 7 Starten Sie den Computer neu Fehlerbehebung bei Windows Installationsproblemen Wenn w hrend der Installation oder Deinstallation des Clients ein Problem aufgetreten ist gilt e
23. LAGEN NACH DIE SIE ZUSAMMEN MIT DEM SOFTWAREPAKET ODER SEPARAT ALS BROSCH RE DATEI AUF DER PRODUKT CD ODER ALS DATEI DIE AUF DER WEBSEITE VERF GBAR IST VON DER SIE AUCH DAS SOFTWAREPAKET HERUNTERGELADEN HABEN ERHALTEN HABEN WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEF HRTEN BESTIMMUNGEN NICHT EINVERSTANDEN SIND UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE SOFERN M GLICH GEBEN SIE DAS PRODUKT AN MCAFEE ODER IHREN H NDLER BEI VOLLER R CKERSTATTUNG DES KAUFPREISES ZUR CK 2 McAfee Host Intrusion Prevention 8 0 Installationshandbuch Inhaltsverzeichnis Installieren von McAfee Host Intrusion Prevention ea 5 KOMPONENTEN na cue 0240 de aan a absaa OAD an Kaew CSR Tahoe ae 7 Installations bersicht 3 24 800 300 days donee ate oboe ana a dosed era dane boa REESEN EE E 7 Neuheiten in dieser Versions Seed REESEN an Ni E S AER SS 9 Bew hrte Vorgehensweisen f r einen einfachen Weg zum Erfolg 11 1 Entwickeln einer Strategie ie ls an re ab nk ha Du nn a nen 13 2 Vorbereiten einer Pilotumgebung e NNN EEN ee 17 3 Installieren und Konfigurieren 0 ccc cee eee eee ann nn 19 4 GFUNGANPASSUNG 5 4 4 40 00 A waded ar ala SE ae ae aa 21 5 Aktivieren des adaptiven Modus optional 25 6 le Gd due LINE 26 7 Ausf hren der Wartung und Erweiterung 27 Installieren von ePolicy Orchestrator 000 00 c cece eee eee eee nenn 29 Installieren der Erweiterung 25518 e SEELEN san nage ey
24. McAfee Agent McAfee Agent 4 0 Patch Patch 3 und h her 4 0 Patch 3 3 und h her oder oder McAfee Agent und h her McAfee Agent 4 5 Patch 4 5 Patch 1 und oder McAfee 1 und h her f r Linux h her f r Windows Agent 4 5 Host IPS 8 0 Client Host IPS 8 0 Client Patch 1 und h her f r Solaris Host IPS 8 0 Client Nur Firewall f r ePO 4 5 McAfee Agent 4 0 Patch 3 und h her oder McAfee Agent 4 5 Patch 1 und h her f r Windows Host IPS 8 0 Client Firewall und IPS f r ePO 4 5 McAfee Agent 4 0 McAfee Agent McAfee Agent 4 0 Patch Patch 3 und h her 4 0 Patch 3 3 und h her oder oder McAfee Agent und h her McAfee Agent 4 5 Patch 4 5 Patch 1 und oder McAfee 1 und h her f r Linux h her f r Windows Agent 4 5 Host IPS 8 0 Client Host IPS 8 0 Client Patch 1 und h her f r Solaris Host IPS 8 0 Client Nur Firewall f r ePO 4 6 McAfee Agent 4 0 Patch 3 und h her oder McAfee Agent 4 5 Patch 1 und h her f r Windows Host IPS 8 0 Client Firewall und IPS f r ePO 4 6 McAfee Agent 4 0 McAfee Agent McAfee Agent 4 0 Patch Patch 3 und h her 4 0 Patch 3 3 und h her oder oder McAfee Agent und h her McAfee Agent 4 5 Patch 4 5 Patch 1 und oder McAfee 1 und h her f r Linux h her f r Windows Agent 4 5 Host IPS 8 0 Client Host IPS 8 0 Client Patch 1 und h her f r Solaris Host IPS 8 0 Client McAfee Host Intrusion Prevention 8 0 Installationshandbuch Installieren von McAf
25. Verhalten auf Diese Ereignisse k nnen bedenkenlos ignoriert werden sofern Sie best tigen k nnen dass die Benutzerfreundlichkeit unver ndert ist M glicherweise schlie en Sie eine Sicherheitsl cke wie eine Schwachstelle im Site bergreifenden Skripting die sonst ausgenutzt werden kann Anpassungsprozess Haben Sie Beschwerden von Benutzern erhalten Setzen Sie sich direkt mit diesen in Verbindung und pr fen Sie ob Anwendungen richtig funktionieren Halten Sie sich f r die Entscheidungen zur Anpassung in der Testphase an den folgenden Ablauf McAfee Host Intrusion Prevention 8 0 Installationshandbuch 23 24 Bew hrte Vorgehensweisen f r einen einfachen Weg zum Erfolg 4 Grundanpassung 1 Richtlinien bearbeiten Erstellen und bearbeiten Sie Richtlinien und Reaktionen mit ePolicy Orchestrator 2 Richtlinien gezielt anwenden Wenden Sie die Richtlinien mit ePolicy Orchestrator auf die Zielsysteme an 3 nderungen aktivieren Wenn Sie Host IPS Richtlinien ber die ePO Konsole ndern werden die nderungen bei der n chsten Kommunikation zwischen Agent und Server f r die verwalteten Systeme bernommen Standardm ig ist dieses Zeitintervall auf 60 Minuten festgelegt Um Richtlinien mit sofortiger Wirkung anzuwenden k nnen Sie von der ePO Konsole aus eine Agenten Reaktivierung durchf hren 4 nderungen testen berpr fen Sie f r diese nderungen erneut den einwandfreien Betrieb einschlie lich der Kompa
26. achen Weg zum Erfolg 3 Installieren und Konfigurieren Verwenden des ePO Servers zum Einrichten von Verwendungsprofilen und Clients Erstellen Sie f r jeden unterschiedlichen Verwendungstyp Web Server Laptops Kiosks ein unterschiedliches ePO Verwendungsprofil Sie weisen diesen Profilen letztlich IPS Richtlinien zu Es ist hilfreich diese Profile vorab einzurichten wenn Sie Ausnahmen verwalten m ssen Gruppieren Sie die Clients logisch Clients k nnen nach beliebigen Kriterien gruppiert werden Die Gruppierung muss allerdings zur Hierarchie der ePO Systemstruktur passen Sie k nnen z B eine erste Ebene nach geografischem Standort und eine zweite Ebene nach Betriebssystemplattform oder nach IP Adresse gruppieren Es wird empfohlen Systeme in Gruppen basierend auf McAfee Host Intrusion Prevention Konfigurationskriterien anzuordnen einschlie lich des Systemtyps Server oder Desktop der wichtigen Anwendungen Web Datenbank oder E Mail Server und der strategischen Positionen DMZ oder Internet TIPP Der ePO Server l sst die logische Kennzeichnung von Systemen zu Kennzeichnungen sind wie Beschriftungen die manuell oder automatisch an Systemen angebracht werden Sortieren Sie Systeme nach ihrer Kennzeichnung in Pilotgruppen und nutzen Sie die Kennzeichnungen als Berichtskriterien Die Namenskonvention ist wichtig Im Idealfall sollten Sie eine Namenskonvention entwickeln die f r alle Personen leicht zu interpretieren ist
27. bzw Zeitbasiertes Kennwort zur Nutzung des Tools zur Fehlerbehebung Vertrauensw rdige Netzwerke Keine Vertrauensw rdige Anwendungen Alle au er F r Firewall als vertrauensw rdig markieren HIP 8 0 IPS IPS Optionen e HIPS aktivieren e Adaptiven Modus aktivieren e Bestehende Client Regeln beibehalten McAfee Host Intrusion Prevention 8 0 Installationshandbuch 49 Installieren des Linux Clients Remote Installation des Linux Clients IPS Regeln e Ausnahmeregeln e Signaturen nur standardm ige und benutzerdefinierte HIPS Regeln HINWEIS NIPS Signaturen und Anwendungsschutzregeln sind nicht verf gbar Remote Installation des Linux Clients 50 Wenn Sie den Client ber den ePO Server ausbringen m chten f gen Sie dem ePolicy Orchestrator Master Repository das zugeh rige Ausbringungspaket hinzu und bringen es dann auf den Client Computern aus Ausf hrlichere Informationen finden Sie im ePolicy Orchestrator Produkthandbuch Task 1 Wahlen Sie die Optionsfolge Software Master Repository und klicken Sie dann auf Paket einchecken ePolicy Orchestrator 4 0 bzw w hlen Sie die Optionsfolge Aktionen Paket einchecken ePolicy Orchestrator 4 5 oder h her 2 W hlen Sie Produkt oder Aktualisierung ZIP aus und klicken Sie dann auf Durchsuchen 3 Machen Sie die zip Datei des Host IPS Client Pakets ausfindig und klicken Sie dann auf ffnen 4 Klicken Sie auf Weiter und dann auf Speichern 5 W hlen
28. dass Sie Ihre Ziele hinsichtlich der Sicherheit verstehen und richten Sie den Pilotprozess entsprechend aus M glicherweise m chten Sie einige bestimmte Probleme identifizieren die sofort blockiert werden sollen oder einen allgemeinen berwachungszeitraum festlegen um mehr dar ber zu erfahren was wirklich in der Client Community geschieht Jede Organisation beurteilt das Verh ltnis zwischen Schutz und Produktivit t unterschiedlich Durch klare Priorit ten am Anfang wird der Prozess optimiert Stellen Sie sich diese Fragen e Welche speziellen Sicherheitsschwachstellen gibt es oder auf welche Vorf lle wurde in Audits verwiesen McAfee Host Intrusion Prevention 8 0 Installationshandbuch 13 14 Bew hrte Vorgehensweisen f r einen einfachen Weg zum Erfolg 1 Entwickeln einer Strategie e Welche Systeme sind am st rksten gef hrdet e Haben mobile Laptops eine Priorit t e Muss ich laut Vorschriften die Gef hrdung in einer wichtigen Benutzer Community oder Systemgruppe reduzieren F r die meisten Kunden stellen Laptops die die kontrollierte Unternehmensumgebung verlassen die gr te Gef hrdung dar Diese Systeme stellen hervorragende erste Ziele f r IPS dar Einige Kunden m chten den Schutz wichtiger Server verst rken Es wird empfohlen diese unternehmenskritischen Systeme erst sp ter in die Pilotumgebung aufzunehmen Notieren Sie Ihre wichtigsten Ziele Die n chsten wenigen Schritte werden Ihnen bei der Priori
29. dieser Datei nach wenn Sie Fragen zur Installation oder Entfernung des Host Intrusion Prevention Clients haben berpr fen ob der Solaris Client ausgef hrt wird Auch wenn der Client ordnungsgem installiert ist k nnen w hrend des Betriebs Probleme auftreten Wenn der Client beispielsweise nicht in der ePO Konsole angezeigt wird berpr fen Sie mithilfe eines der folgenden Befehle ob er ausgef hrt wird e etc rc2 d S99Yhip status e ps ef grep hip Anhalten des Solaris Clients Im Rahmen der Fehlerbehebung m ssen Sie einen derzeit ausgef hrten Client m glicherweise anhalten und neu starten Task 1 Deaktivieren Sie den IPS Schutz Verwenden Sie eine der folgenden Vorgehensweisen e Legen Sie in der ePO Konsole f r IPS Optionen den Wert Aus fest und wenden Sie dann die Richtlinie auf den Client an e Melden Sie sich als Root Benutzer an und f hren Sie folgenden Befehl aus hipts engines MISC off 2 F hren Sie folgenden Befehl aus etc rc2 d S99hip stop Neustarten des Solaris Clients 46 Im Rahmen der Fehlerbehebung m ssen Sie einen derzeit ausgef hrten Client m glicherweise anhalten und neu starten Task 1 F hren Sie folgenden Befehl aus etc rc2 d S99hip restart McAfee Host Intrusion Prevention 8 0 Installationshandbuch Installieren des Solaris Clients Neustarten des Solaris Clients 2 Aktivieren Sie den IPS Schutz Gehen Sie gem einer der nachfolgenden Methoden vor je nachdem mit welche
30. ee Host Intrusion Prevention Neuheiten in dieser Version Neuheiten in dieser Version Diese Version des Produkts umfasst verschiedene neue Funktionen Verbesserungen und Anderungen IPS Neue Funktionen fiir die Richtlinie zu den IPS Optionen Schutz bei Systemstart Schutz bei Systemstart bevor die IPS Dienste gestartet werden Neue Funktion fiir die Richtlinie zu den IPS Regeln Auf der IP Adresse f r Netzwerk IPS Signaturen basierende Ausnahmen Vertrauensw rdige Netzwerke f r IPS Signaturen und Firewall Regeln Die bereinstimmung ausf hrbarer Dateien f r Anwendungen wird bei Signaturen und Ausnahmen nun nach Pfad Hash digitaler Signatur und Dateibeschreibung und nicht nur nach Pfad vorgenommen Firewall Neue Funktionen f r die Richtlinie f r Firewall Optionen TrustedSource Bewertung und Blockierung Firewall Regeln blockieren oder erlauben eingehenden oder ausgehenden Verkehr entsprechend den McAfee TrustedSource Bewertungen IP F lschungsschutz Firewall Regeln blockieren ausgehenden Verkehr wenn es sich bei der lokalen IP Adresse nicht um eine IP Adresse des lokalen Systems handelt und wenn die lokale MAC Adresse keine MAC Adresse eines VM Gasts ist Bridged VM Unterst tzung Firewall Regeln lassen Verkehr ber eine lokale MAC Adresse zu bei der es sich nicht um die MAC Adresse des lokalen Systems handelt sondern um eine der MAC Adressen im Bereich der unterst tzten VM Software Schutz bei Systemstart
31. ehebung bei Solaris Installationsproblemen 0 c cece eee tenets 45 Anhalten des Solaris Chentsis jecaciscicieticca dots 0800 Sante tats Rane ale E dr aia Re 46 Neustarten des Solaris Clientss 4 55 2 0500 400 a dt Fee ae eae sae ann a eA 46 Installieren des Lnusx Clients nennen 48 Details zum une kee Seeerei EES ea 48 Remote Installation des Linux Clients 26 000ceeb eee Hanne nenn nn ann nenn 50 Lokale Installation des Linux Clients 2 222 seereennen eee nennen nenn 51 Anwenden von Richtlinien und IPS Inhaltsaktualisierungen 22sess onen r rennen rennen 52 Entfernen des Linux Clents 2 00 00 00 EES EISE nn a a de na nn nn na nm naar in 52 Fehlerbehebung bei Linux Installationsproblemen 000 cece seen nennen nennen nn nen 53 Anhalten des LinweClients 3 2 342 ea ae ae 53 Neustarten des Linux Glients ra aa ea ie 54 McAfee Host Intrusion Prevention 8 0 Installationshandbuch Installieren von McAfee Host Intrusion Prevention Mit diesem Handbuch werden alle Informationen bereitgestellt die f r die Installation und Verwendung der Host Intrusion Prevention 8 0 Software in einer verwalteten Umgebung erforderlich sind Die Produkterweiterung wird auf den Versionen 4 0 4 5 und 4 6 des ePolicy Orchestrator Servers installiert Der Client wird auf Windows Workstations und Servern sowie auf Solaris und Linux Servern installiert Produktfunktionen Host Intrusion Prevention bietet eine zustand
32. en Beispielsweise ist eine Konfiguration m glich bei der eine Benachrichtigung gesendet wird wenn auf einem bestimmten Server ein Ereignis hohen Schweregrads ausgel st wurde e Sie k nnen Berichte f r die automatische Ausf hrung und Versendung als E Mail an zust ndige Personen planen Einzelheiten zur Verwendung von Dashboards und Berichten finden Sie im Produkthandbuch unter Verwaltung Ihres Schutzes Wartezeit und Beobachtung berwachen Sie Ereignisse f r mindestens weitere zwei Wochen t glich und achten Sie dabei insbesondere auf Helpdesk Anrufe Anomalien und False Positives Bei dieser eher konservativen Rollout Strategie sollte es nur zu wenigen Support Anrufen und Problemen kommen und daher eine nur geringe Zahl an Anpassungen erforderlich sein Stellen Sie au erdem sicher dass Workarounds au er Kraft gesetzt sind und so verhindert wird dass Benutzer oder Malware den IPS Schutz umgehen Lassen Sie keinesfalls die Deaktivierung von Modulen oder das Entfernen des Host IPS Clients zu McAfee Host Intrusion Prevention 8 0 Installationshandbuch Bew hrte Vorgehensweisen f r einen einfachen Weg zum Erfolg 5 Aktivieren des adaptiven Modus optional 5 Aktivieren des adaptiven Modus optional Beginnen Sie nach dem Abschluss eines Gesch ftszyklus mit der eingerichteten Software mit dem Implementieren gezielter Regeln um benutzerdefinierte Richtliniengruppen zu erstellen Diese Richtlinien k nnen manuell definiert we
33. en Sie dann die Richtlinie auf den Client an e Rufen Sie die Client Konsole auf und deaktivieren Sie auf der Registerkarte f r die IPS Richtlinie die Option Host IPS aktivieren HINWEIS Die Deaktivierung des Firewall Schutzes ist zum Anhalten des Clients nicht erforderlich 2 ffnen Sie eine Eingabeaufforderung und f hren Sie folgenden Befehl aus net stop enterceptagent Neustarten des Windows Clients Im Rahmen der Fehlerbehebung m ssen Sie einen zuvor angehaltenen Client m glicherweise neu starten Task 1 ffnen Sie eine Eingabeaufforderung und f hren Sie folgenden Befehl aus net start enterceptagent 2 Wenn Sie den IPS Schutz deaktiviert haben aktivieren Sie ihn mithilfe einer der folgenden Methoden erneut e Legen Sie in der ePO Konsole f r IPS Optionen den Wert Ein fest und wenden Sie dann die Richtlinie auf den Client an e Rufen Sie die Client Konsole auf und aktivieren Sie auf der Registerkarte f r die IPS Richtlinie die Option Host IPS aktivieren McAfee Host Intrusion Prevention 8 0 Installationshandbuch 41 Installieren des Solaris Clients In diesem Abschnitt finden Sie Informationen zu den Anforderungen und Eigenschaften sowie zur Installation des McAfee Host Intrusion Prevention 8 0 Solaris Clients der potentiell schadliche Versuche die Dateien und Anwendungen auf einem Solaris Server zu manipulieren erkennt und unterbindet Der Client sch tzt das Betriebssystem des Servers sowie Apache u
34. en auf hnliche Weise Dies gilt f r alle Plattformen McAfee Host Intrusion Prevention 8 0 Installationshandbuch Migrieren von Richtlinien Migrieren von Richtlinien aus fruheren Versionen Zum Migrieren von dieser Version von Host Zu Version 8 0 gehen Sie folgendermaBen vor Intrusion Prevention Installieren Sie die Host IPS 8 0 Erweiterungen in ePolicy Orchestrator Migrieren Sie die Richtlinien von Version 6 1 zu Richtlinien von Version 8 0 indem die die Migrationsfunktion von Host IPS 8 0 ausf hren berpr fen Sie die migrierten Richtlinien und Richtlinienzuweisungen Stellen Sie Host IPS 8 0 Clients bereit um die Host IPS 6 1 Clients zu ersetzen Stellen Sie das aktuelle Inhaltsupdate f r Host IPS 8 0 Clients bereit Installieren Sie die Host IPS 8 0 Erweiterungen in ePolicy Orchestrator Migrieren Sie die Richtlinien von Version 7 0 zu Richtlinien von Version 8 0 indem Die die Migrations Funktion von Host IPS 8 0 ausf hren berpr fen Sie die migrierten Richtlinien und Richtlinienzuweisungen Stellen Sie Host IPS 8 0 Clients bereit um die Host IPS 7 0 Clients zu ersetzen Stellen Sie das aktuelle Inhaltsupdate f r Host IPS 8 0 Clients bereit TIPP Wenn Host Intrusion Prevention 6 1 7 0 Erweiterungen installiert sind nehmen Sie zun chst eine Aktualisierung auf die Host Intrusion Prevention 7 0 5 Erweiterung vor und installieren Sie dann die Host Intrusion Prevention 8 0 Erweiterung Dadurch w
35. en finden Sie im Produkthandbuch unter Konfigurieren von IPS Richtlinien oder Konfigurieren von Firewall Richtlinien Feinabstimmung von Basisrichtlinien optional Einige Administratoren ndern Schutzstandards sofort bevor Sie mit dem Bereitstellen beginnen Sie k nnen Anwendungen mit hohem Risiko Anwendungen die Dienste oder offene Netzwerk Ports starten und interne Anwendungen automatisch sch tzen Intern entwickelte Anwendungen sind zu Beginn der Bereitstellung h ufig von IPS ausgeschlossen Dies gilt insbesondere wenn sie Netzwerkverbindungen berwachen Interne Softwareentwickler gehen beim Programmieren erwarteter und sicherer Verhaltensweisen m glicherweise nicht so streng vor wie kommerzielle Entwickler Beispielsweise l st ein Programm das Links zu Internet Explorer enth lt unbeabsichtigt eine Internet Explorer Schutzsignatur aus wenn sich das Programm anders als erwartet verh lt Da intern entwickelte Anwendungen keine typischen Angriffsziele darstellen stellen sie ein geringeres Sicherheitsrisiko dar F gen Sie die IP Adressen Ihrer Schwachstellen Scanner der Liste vertrauensw rdiger Netzwerke hinzu Ihre vorhandenen ePolicy Orchestrator und Sicherheitsrichtlinien stellen m glicherweise weitere Informationen zu offensichtlichen Aktivit ten bereit die f r die einzelnen Verwendungsprofile zugelassen oder blockiert werden Schlie lich k nnen Sie den adaptiven Modus verwenden um Regeln f r ausgeschlossene Anwendungen
36. en je nach Benutzerprofil andere sein Beispielsweise k nnen Sie bestimmte Softwareanwendungen f r den technischen Support zulassen w hrend Sie die Verwendung dieser Programme f r die Finanzabteilung verhindern Sie k nnen diese Anwendungen also auf den Systemen des technischen Supports als vertrauensw rdig festlegen um ihre Verwendung zuzulassen Weitere Informationen finden Sie im Produkthandbuch unter Konfigurieren der Richtlinie Vertrauensw rdige Anwendungen 4 Ausf hren von Abfragen Mithilfe von Abfragen k nnen Sie Daten zu einzelnen Elementen abfragen und diese Daten nach bestimmten Untermengen filtern beispielsweise nach Ereignissen hoher Ebene die von bestimmten Clients f r eine bestimmte Zeitspanne gemeldet wurden Achten Sie auf Signaturen die besonders h ufig Ereignisse ausl sen Handelt es sich dabei um legitime t gliche Gesch ftsfunktionen die zugelassen werden sollten Legen Sie f r diese Signaturen einen geringeren Schweregrad fest Manche Ausnahmen f r Desktop Computer erweisen sich als Fehlverhalten zul ssiger Anwendungen das Sie nicht zulassen m ssen Vergewissern Sie sich dass die Benutzeranwendung einwandfrei funktioniert und lassen Sie das Fehlverhalten weiterhin blockieren TIPP Es kommt h ufig vor dass Ereignisse generiert und blockiert werden ohne dass dies sp rbare Auswirkungen f r Benutzer oder den Betrieb einer Anwendung hat VMware Umh llungen und Adobe Anwendungen weisen oft ein solches
37. entnehmen Der zentrale Gedanke besteht darin das Rollout in Stufen auszuf hren Empfohlen wird diese Reihenfolge e IPS auf Laptops und Standard Desktop Computern e IPS auf unternehmenskritischen Servern e IPS auf Laptops und Desktop Computern von Hauptbenutzern e Firewalls auf Laptops e Firewalls auf Servern e Firewall auf Laptops und Desktop Computern von Hauptbenutzern McAfee Host Intrusion Prevention 8 0 Installationshandbuch 11 12 Bew hrte Vorgehensweisen f r einen einfachen Weg zum Erfolg Die meisten Administratoren k nnen die hier genannten Schritte ausf hren Bei Bedarf k nnen Sie auch Unterst tzung durch McAfee Partner und Service Mitarbeiter erhalten Die empfohlene Abfolge umfasst sieben Schritte Strategie und Planung Vorbereiten der Umgebung Installation und Konfiguration Grundanpassung Optionaler adaptiver Modus Erweiterter Schutz und erweiterte Anpassung N Oh Un WN Mr Wartung und Erweiterung Uber IPS hinaus Der Rollout Prozess ist fiir Desktop Computer und Server ahnlich Es ist jedoch zu empfehlen den Schutz zun chst an konservativeren Punkten einzurichten und f r komplexere und unternehmenskritische Desktop Computer von Hauptbenutzern und Server in Phasen aufzubauen Zeitplanung und Erwartungen Bei einem erfolgreichen Rollout mit minimalen Komplikationen und maximaler Risikominimierung dauert der Einf hrungsprozess einen bis drei Monate Die eigentlichen Arbeiten beanspruchen in diesem Ze
38. er Host IPS Client Richtiinien Host IPS Administrator ePO Server und Repository u Ereignisse Client Regeln Richtlinienaktualisierungen Inhaltsaktualisierungen fd we ZE Client Regeln K Agent Richtlinienaktualisierungen Inhaltsaktualisierungen Host IPS Administrator 4 Bearbeliten von Host IPS Client Einstellungen Host IPS Client Host IPS Client Benutzer Abbildung 2 Host Intrusion Prevention Installation und Wartung mithilfe von ePolicy Orchestrator e Vom ePO Server wird auf jedem Server McAfee Agent verwendet um den IPS Client auf allen Zielsystemen zu installieren e IPS Richtlinien werden mithilfe der ePO Konsole erstellt und verwaltet e Der ePO Server bertr gt die Richtlinien an den Agenten auf dem Zielsystem e Der Agent bertr gt die Richtlinien an den IPS Client e Der IPS Client erzwingt die Richtlinien und generiert Ereignisinformationen die er an den Agenten sendet e Der Agent bertr gt Ereignisinformationen zur ck an ePolicy Orchestrator e In geplanten Intervallen oder auf Anforderung ruft der ePO Server Inhalts und Funktionalit tsaktualisierungen aus dem McAfee Repository ab und der Agent ruft sie vom Server ab um den IPS Client zu aktualisieren e Wenn Richtlinien ge ndert werden werden Sie vom Agenten angerufen um den IPS Client zu aktualisieren 18 McAfee Host Intrusion Prevention 8 0 Installationshandbuch Bew hrte Vorgehensweisen f r einen einf
39. er Wahrung des Betriebs geplant werden damit Zustand und Wirksamkeit der IPS Funktionen aufrechterhalten werden berpr fung von Protokollen Anhand von Ereignisprotokolldaten k nnen Sie Richtlinien optimieren um ein ausgeglichenes Verh ltnis zwischen Schutz und freiem Zugriff auf Informationen und Anwendungen herzustellen Dieses Gleichgewicht unterscheidet sich im Allgemeinen je nach Benutzertyp In dieser Phase sollten Sie Richtlinien manuell ber den ePO Server anpassen Informationen zur automatischen Anpassung von Richtlinien finden Sie unter 5 Aktivieren des adaptiven Modus optional Auf Informationen zu Ereignissen k nnen Sie auf dem ePO Server unter Berichterstellung ber die Registerkarte Host IPS 8 0 Ereignisse zugreifen Sie k nnen die Details f r einzelne Ereignisse aufgliedern und beispielsweise ermitteln durch welchen Vorgang ein Ereignis ausgel st wurde zu welchem Zeitpunkt ein Ereignis aufgetreten ist und auf welchem Client Achten Sie auf rote Markierungen wie False Positives und Signaturen f r die ein Ereignis mit hohem Schweregrad ausgel st wurde berpr fen Sie ob Vorg nge und Dienste einwandfrei sind Anwendungen f r die Sie dies erwarten sollten laufen Anwendungen f r die Sie dies nicht erwarten sollten nicht angezeigt werden Wenn Ereignisse zu zul ssigen Aktivit ten protokolliert wurden meist f r intern entwickelte Anwendungen k nnen Sie diese F lle von False Positives im n chsten Schri
40. er bestimmten Umst nden au er Kraft Sie k nnen Reaktionen so festlegen dass Ereignisse ignoriert und damit nicht l nger protokolliert werden Beispielsweise ist es m glich dass bestimmte Skriptverarbeitungs vorg nge gem einer Richtlinie als unzul ssig gelten bestimmte Systeme Ihrer Entwicklungsabteilungen jedoch Skripts ausf hren m ssen Erstellen Sie Ausnahmen f r solche Systeme damit deren Betrieb normal verl uft w hrend Skripts auf anderen Systemen weiterhin durch die Richtlinie verhindert werden Nehmen Sie diese Ausnahmen in einer Serverrichtlinie auf die nur f r die Entwicklungsabteilung gilt Mit Ausnahmen verringern Sie die Anzahl von False Positive Warnungen und reduzieren die Menge berfl ssiger und irrelevanter Daten die an die Konsole bertragen werden Durch die Minimierung von St rdaten k nnen Sie wichtige Ereignisse bei der t glichen berwachung einfacher erfassen TIPP Achten Sie darauf dass die Ausnahme gerade so allgemein ist dass diese auf allen hnlichen Systemen unter denselben oder hnlichen Bedingungen greift 3 Vertrauensw rdige Anwendungen erstellen Vertrauensw rdige Anwendungen sind Anwendungsprozesse die von allen IPS und Firewall Regeln ausgenommen sind Begrenzen Sie vertrauensw rdige Anwendungen auf Vorg nge die eine so gro e Anzahl an False Positives verursachen dass genau abgestimmte Ausnahmen einen zu hohen Aufwand nach sich ziehen Vertrauensw rdige Anwendungen k nn
41. erden eine erfolgreiche Installation der Richtlinien von Version 8 0 und ihre Migration sichergestellt Inhalt gt Migrieren von Richtlinien aus fr heren Versionen gt Migrieren von Richtlinien ber eine XML Datei Migrieren von Richtlinien aus fr heren Versionen Wenn die McAfee Host Intrusion Prevention 6 1 oder 7 0 Erweiterungen auch nach dem Installieren von Host Intrusion Prevention 8 0 noch in ePolicy Orchestrator vorhanden sind besteht die einfachste M glichkeit zum Migrieren aller vorhandenen Richtlinien darin die Richtlinien direkt zu migrieren Aufgabe 1 Klicken Sie auf Automatisierung Host IPS Richtlinienmigration 2 Klicken Sie unter Aktion bei den Host IPS 6 1 Richtlinien oder den Host IPS 7 0 Richtlinien im ePO Richtlinienkatalog auf Migrieren 3 Klicken Sie nach abgeschlossener Richtlinienmigration auf Schlie en Alle Richtlinien von Version 6 1 oder 7 0 IPS sowie der Firewall Funktion und der Funktion Allgemein werden in Version 8 0 konvertiert und hinter dem Namen wird 6 1 oder 7 0 McAfee Host Intrusion Prevention 8 0 Installationshandbuch 33 Migrieren von Richtlinien Migrieren von Richtlinien Uber eine XML Datei angezeigt Die Richtlinien f r die Anwendungsblockierungsregeln werden in Application Hooking Protection 6 1 oder 7 0 IPS Regelrichtlinien konvertiert HINWEIS Wenn Sie die Richtlinienmigration ein zweites Mal ausf hren werden alle zuvor migrierten Richtlinien mit demselben Namen
42. ernen und diese dann erneut installieren sind sowohl das Eindringungsschutzsystem auf Host Ebene als auch die Funktion f r Netzwerk IPS deaktiviert und m ssen manuell in der Richtlinie f r die IPS Optionen aktiviert werden McAfee Host Intrusion Prevention 8 0 Installationshandbuch 31 Migrieren von Richtlinien 32 Sie k nnen die Richtlinien von McAfee Host Intrusion Prevention Version 6 1 oder 7 0 erst f r Clients der Version 8 0 verwenden nachdem Sie die Richtlinien von Version 6 1 oder 7 0 zum Format von Version 8 0 migriert haben Host Intrusion Prevention 8 0 bietet mithilfe der ePolicy Orchestrator Funktion Host IPS Richtlinienmigration unter Automatisierung eine einfache M glichkeit zum Migrieren von Richtlinien Diese Migration umfasst das bertragen und Verschieben von Richtlinien Nachdem die Richtlinie migriert wurde wird sie im Richtlinienkatalog unter der entsprechenden Host IPS 8 0 Produktfunktion und kategorie angezeigt wobei 6 1 oder 7 0 auf den Namen der Richtlinie folgt Alle Richtlinien au er den folgenden werden in die entsprechenden Richtlinien von Version 8 0 bertragen und zu diesen migriert Richtlinien f r die Anwendungsblockierungsoptionen werden h ufig nicht migriert Diese Richtlinien wurden in Version 8 0 entfernt Richtlinien f r die Anwendungsblockierungsregeln werden zu IPS Regelrichtlinien mit dem Namen Application Hooking and Invocation Protection lt Name gt 6 1 oder 7 0 migriert
43. ernen vom Client Computer m ssen Sie zun chst die IPS Richtlinien des Clients ber den ePO Server deaktivieren e Melden Sie sich als Root Benutzer beim Client Computer an und f hren Sie folgenden Befehl aus opt McAfee hip install_hip_solaris uninstall Fehlerbehebung bei Solaris Installationsproblemen Wenn w hrend der Installation oder Deinstallation des Clients ein Problem aufgetreten ist gilt es mehrere Punkte zu pr fen So k nnen Sie beispielsweise sicherstellen dass alle erforderlichen Dateien im richtigen Verzeichnis installiert wurden und dass der Client ausgef hrt wird Zudem k nnen Sie die Prozessprotokolle zurate ziehen McAfee Host Intrusion Prevention 8 0 Installationshandbuch 45 Installieren des Solaris Clients Anhalten des Solaris Clients Uberpriifen der Solaris Installationsdateien Nach der Installation sollten Sie berpr fen ob alle Dateien im richtigen Verzeichnis auf dem Client installiert wurden Das Verzeichnis opt McAfee hip sollte folgende grundlegenden Dateien und Verzeichnisse enthalten Datei Verzeichnisname Beschreibung HipClient HipClient bin Solaris Client HipClientPolicy xml Richtlinienregeln hipts hipts bin Fehlerbehebungs Tool We Gemeinsame Objektmodule von Host Intrusion Prevention und ePO Protokollverzeichnis Enth lt folgende Protokolldateien HIPShield log und HIPClient log Der Installationsverlauf wird in die Datei opt McAfee etc hip install log geschrieben Lesen Sie in
44. esichert die eine schnelle Bereitstellung auf einer Vielzahl an Computern erlauben F r noch h heren Schutz haben Sie die M glichkeit strengere vordefinierte oder benutzerdefinierte Richtlinien anzuwenden Die ePO Datenbank enth lt Sicherheitsinhaltsdaten einschlie lich Signaturen die in den Host Intrusion Prevention Richtlinien angezeigt werden Aktualisierungen erfolgen ber ein Inhaltsupdate Paket das Versionsinformationen und Skript Aktualisierungen enth lt Beim Einchecken wird die Paketversion mit den aktuellsten Inhaltsinformationen in der Datenbank verglichen Wenn das Paket neuer ist werden die Inhaltsdaten extrahiert und gespeichert McAfee Host Intrusion Prevention 8 0 Installationshandbuch Installieren von McAfee Host Intrusion Prevention Diese neuen Inhaltsinformationen werden anschlie end bei der n chsten Agent zu Server Kommunikation an Clients weitergeleitet HINWEIS Inhaltsupdates f r Host Intrusion Prevention werden manuell oder automatisch mit einem Pull Task in das ePO Repository eingecheckt und mit einem Aktualisierungstask an die Clients verteilt Die Host Intrusion Prevention Clients erhalten Aktualisierungen auschlie lich durch die Kommunikation mit dem ePO Server So funktioniert der Schutz Der ePolicy Orchestrator bertr gt Richtlinieninformationen in regelm igen Zeitabst nden ber den ePO Agenten an Host Intrusion Prevention Clients Die Host Intrusion Prevention Clients setzen die Richtlin
45. esichertsten Betriebsumgebungen Da beim maximalen Schutz auch Signaturen mit geringem Schweregrad blockiert werden sollte dieser Schutz sehr umsichtig und nach einer umfassenden Testphase bereitgestellt werden Verwenden Sie die Kategorie Maximalen Schutz vorbereiten zu Testzwecken um die Auswirkungen von nderungen zu ermitteln bevor Sie den maximalen Schutz aktivieren Extrem konservative Organisationen k nnen f r jede nderung in der Schutzstufe ein Rollout als eigenen Pilot vornehmen auf die dann die erl uterten iterativen Schritte folgen Denken Sie daran Notsysteme und den adaptiven Modus vor und nach den Testzyklen in denen nderungen validiert werden zu aktivieren und zu deaktivieren Fortsetzen der Abstimmung berpr fen Sie auftretende Ausnahmen und Fehler Bearbeiten Sie sie wie im anf nglichen Abstimmungsschritt erl utert e berpr fen Sie Helpdesk Anrufe und Benutzerkommentare hinsichtlich Beschwerden oder Gesch ftsproblemen die durch blockierten Zugriff auftreten falscher Positiva oder neuer Anwendungsverhalten Diese Probleme d rften nur in sehr geringer Anzahl auftreten es gibt jedoch immer neue Anforderungen e berpr fen Sie regelm ig die generierten Ausnahmen e Stimmen Sie Richtlinien entsprechend ab Verwenden Sie den ePO Server um Richtlinienaktualisierungen an Hostsysteme zu senden Sie m ssen sie bewusst auf die Systeme anwenden die Sie einschlie en m chten 7 Ausf hren der Wartung u
46. estens w chentliche Durchsicht von Protokollen und die Aktualisierung von Regeln ein IPS und Firewall gleichzeitig aktivieren Beginnen Sie mit IPS und f gen Sie die Firewall je nach Bedarf hinzu Sie wissen dann bereits wie Richtlinien erstellt werden haben sich mit den jeweils geeigneten Arten von Schutz vertraut gemacht und k nnen nderungen und Ergebnisse besser in Beziehung zueinander setzen Host IPS oder Firewall Funktionen f r unbestimmte Zeit Verwenden Sie den adaptiven Modus f r kurze im adaptiven Modus belassen Zeitabschnitte wenn es ihnen m glich ist die erstellten Regeln zu berwachen Alles was vom System an Eindringversuchen entdeckt Nehmen Sie sich die Zeit zu berpr fen ob der angezeigte wird sofort blockieren Datenverkehr tats chlich eine Bedrohung darstellt Verwenden Sie daf r Paketaufzeichnung Netzwerk IPS und sonstige Methoden gt 1 Entwickeln einer Strategie gt 2 Vorbereiten einer Pilotumgebung gt 3 Installieren und Konfigurieren gt 4 Grundanpassung gt 5 Aktivieren des adaptiven Modus optional gt 6 Feinabstimmung gt 7 Ausf hren der Wartung und Erweiterung 1 Entwickeln einer Strategie Der erste Schritt im Abstimmungsprozess besteht darin ber die Strategie f r den Systemschutz nachzudenken Legen Sie realistische Ziele fest und erstellen Sie einen entsprechenden Pilot und Bereitstellungsplan Definieren der Priorit ten des Pilots Stellen Sie sicher
47. ezeigt sofern sie installiert sind e In ePolicy Orchestrator 4 5 und 4 6 wird Host Intrusion Prevention in der Liste Verwaltete Produkte unter den Erweiterungen angezeigt und alle fiir das Produkt installierten Erweiterungen werden im rechten Bereich angezeigt Entfernen der Erweiterung Wenn Sie Host Intrusion Prevention 8 0 vom ePolicy Orchestrator Server entfernen m chten entfernen Sie die entsprechenden Erweiterungen HINWEIS Wenn Sie die Erweiterungen entfernen entfernen Sie alle Richtlinien und Richtlinienzuweisungen Diese Aktion wird nur als Teil eines Fehlerbehebungsverfahrens empfohlen wenn dies in Absprache mit dem McAfee Support geschieht e Fur ePolicy Orchestrator 4 0 Wechseln Sie zu Konfiguration Erweiterungen wahlen Sie in der Liste Verwaltete Produkte den Eintrag Host Intrusion Prevention 8 0 0 oder Host IPS License Extension falls installiert aus und klicken Sie dann auf Entfernen e Fur ePolicy Orchestrator 4 5 und h her W hlen Sie Software Erweiterungen aus wahlen Sie in der Liste Verwaltete Produkte den Eintrag Host Intrusion Prevention aus und klicken Sie auf der linken Seite auf den Link Entfernen der installierten Erweiterung HINWEIS Wenn mehrere Host Intrusion Prevention 8 0 Erweiterungen installiert sind m ssen Sie sie in dieser Reihenfolge entfernen 1 Host IPS License Extension 2 Host IPS Advanced Extension 3 Host Intrusion Prevention 8 0 0 Wenn Sie die Host IPS Lizenzerweiterung entf
48. eziehen sich auf Verhaltensweisen und setzen zumindest eine gewisse Anpassung voraus um die Zahl der Support Anrufe zu begrenzen Davon ausgehen dass f r alle Systeme dieselben Teilen Sie Desktop Computer nach Anwendungen und Richtlinien verwendet werden Rechten in Gruppen auf Beginnen Sie mit den einfachsten Systemen und erstellen Sie f r gro e Gruppen Standardnutzungsprofile F gen Sie schrittweise weitere Benutzer und Nutzungsprofile in dem Ma hinzu in dem Sie Erfahrung gewinnen Unzureichend auf Benutzerfreundlichkeit testen W hlen Sie einige wichtige Benutzergruppen aus f hren Sie Tests mit Pilotbenutzern aus die Feedback einbringen pr fen Sie ob Anwendungen weiterhin richtig McAfee Host Intrusion Prevention 8 0 Installationshandbuch Bew hrte Vorgehensweisen f r einen einfachen Weg zum Erfolg 1 Entwickeln einer Strategie Diese Dinge sollten Sie unbedingt vermeiden Empfohlene bew hrte Vorgehensweisen funktionieren und setzen Sie dann ein breit angelegtes Rollout um wenn die Richtlinien erwiesenerma en funktionieren ohne die Produktivit t zu st ren Bem hen Sie sich darum bei den Benutzern einen guten ersten Eindruck zu hinterlassen Host IPS einrichten und dann zu den Akten legen Anders als bei Antivirus L sungen sind regelm ige berwachung und Wartung erforderlich um die Genauigkeit und Wirksamkeit des Schutzes zu gew hrleisten Planen Sie nach Abschluss der Ausbringung Zeit f r die mind
49. fee Host Intrusion Prevention 8 0 Installationshandbuch Bew hrte Vorgehensweisen f r einen einfachen Weg zum Erfolg 1 Entwickeln einer Strategie Die Kombination beider Modelle stellt eine gute L sung dar Ein Labortest schafft Vertrauen und l sst Sie mit den Prozessen und Richtlinien von McAfee Host Intrusion Prevention vertraut werden Nachdem einige Benutzungsprofile gestestet wurden k nnen diese Profile in einen Pilot auf Produktionssystemen verschoben werden Aktivit ten oder Anwendungen die im Labortest ausgelassen wurden k nnen dann im Produktionspilot ber cksichtigt werden Dieser aus zwei Schritten bestehende Prozess eignet sich sehr f r konservative Unternehmen TIPP Administratoren m ssen ber einfachen physikalischen Zugriff auf Pilotsysteme verf gen Das bedeutet dass unbesetzte B ros und Privatanwender aus der ersten Pilotgruppe ausscheiden Sicherstellen einer entsprechenden Benutzerdarstellung Mit den Kenntnissen hinsichtlich der Systemtypen m ssen Sie zun chst die Verwendungsprofile und Systeme im Pilot identifizieren Schlie en Sie unterschiedliche Benutzertypen ein um einen Querschnitt der m glichen Zielbenutzer Community zu erhalten Auf diese Weise k nnen Sie Regeln und Richtlinien erstellen die die normalen Unternehmensanforderungen und verwendungen widerspiegeln In einem standardisierten Callcenter Call oder Helpdesk gibt es beispielsweise Manager Kundensupport und H ndlersupport Stellen Sie siche
50. gen Sie die Produkterweiterungsdatei in ePolicy Orchestrator hinzu um Host Intrusion Prevention zu installieren Nutzen Sie diesen Prozess zum Aktualisieren oder Ersetzen einer Host IPS Erweiterung Vorbereitung Wenn Host Intrusion Prevention 6 1 7 0 Erweiterungen installiert sind nehmen Sie zun chst eine Aktualisierung auf die Host Intrusion Prevention 7 0 5 Erweiterung vor und installieren Sie dann die Host Intrusion Prevention 8 0 Erweiterung Dadurch wird eine erfolgreiche Installation und Migration der Richtlinien f r Version 8 0 sichergestellt Aufgabe 1 Wechseln Sie zu Konfiguration Erweiterungen ePolicy Orchestrator 4 0 oder w hlen Sie Software Erweiterungen ePolicy Orchestrator 4 5 und h her aus 2 Klicken Sie auf Erweiterung installieren 3 Geben Sie im Dialogfeld Erweiterung installieren den Pfad zur erforderlichen Host IPS Erweiterungsdatei an und klicken Sie auf OK HINWEIS Dieser Vorgang kann einige Minuten dauern McAfee Host Intrusion Prevention 8 0 Installationshandbuch Installieren von ePolicy Orchestrator Entfernen der Erweiterung 4 Klicken Sie nach der Installation der Erweiterung und der Anzeige des Ubersichtsbildschirms auf OK 5 Wiederholen Sie die Schritte 2 bis 4 um bei Bedarf zus tzliche Erweiterungen zu installieren e In ePolicy Orchestrator 4 0 werden die Host Intrusion Prevention 8 0 0 und die Host IPS Lizenzerweiterung in der Liste Verwaltete Produkte unter den Erweiterungen ang
51. hen Dateien im richtigen Verzeichnis installiert wurden und dass der Client ausgef hrt wird Zudem k nnen Sie die Prozessprotokolle zurate ziehen berpr fen der Linux Installationsdateien Nach der Installation sollten Sie berpr fen ob alle Dateien im richtigen Verzeichnis auf dem Client installiert wurden Das Verzeichnis opt McAfee hip sollte folgende grundlegenden Dateien und Verzeichnisse enthalten Datei Verzeichnisname Beschreibung HipClient HipClient bin Linux Client HipClientPolicy xml Richtlinienregeln hipts hipts bin Fehlerbehebungs Tool We Gemeinsame Objektmodule von Host Intrusion Prevention und ePO Protokollverzeichnis Enth lt folgende Protokolldateien HIPShield log und HIPClient log Der Installationsverlauf wird in die Datei opt McAfee etc hip install log geschrieben Lesen Sie in dieser Datei nach wenn Sie Fragen zur Installation oder Entfernung des Host Intrusion Prevention Clients haben Uberpriifen ob der Linux Client ausgef hrt wird Auch wenn der Client ordnungsgem installiert ist k nnen w hrend des Betriebs Probleme auftreten Wenn der Client beispielsweise nicht in der ePO Konsole angezeigt wird berpr fen Sie mit folgendem Befehl ob er ausgef hrt wird ps ef grep hip Anhalten des Linux Clients Im Rahmen der Fehlerbehebung m ssen Sie einen derzeit ausgef hrten Client m glicherweise anhalten und neu starten Task 1 Wenn Sie einen derzeit ausgef hrten Client anhalten
52. hutzes auftreten k nnen McAfee Host Intrusion Prevention 8 0 Installationshandbuch Bew hrte Vorgehensweisen f r einen einfachen Weg zum Erfolg 4 Grundanpassung Installieren von Host IPS auf Pilot Hosts Fangen Sie klein an und installieren Sie nur ein paar Clients Erweitern Sie den Vorgang dann auf mehr Systeme in gr eren Inkrementen sowie das Vertrauen w chst Beginnen Sie mit einem dann mit 10 dann mit 20 dann mit 50 bis zu 100 Systemen Nachfolgend finden Sie die Rollout Reihenfolge 1 Stellen Sie sicher dass die Zielhosts eingeschaltet sowie mit dem Netzwerk verbunden sind und mit ePolicy Orchestrator kommunizieren 2 Verwenden Sie einen ePO Bereitstellungs Task um Host IPS Agenten mithilfe eines Pushs auf eine kleine Gruppe von Hosts in der Pilotgruppe zu bertragen 3 Validieren Sie die erfolgreiche Installation Nehmen Sie bei Bedarf Fehlerbehebungen und Anpassungen vor 4 Erweitern Sie den Schutz auf weitere Systeme berpr fen Sie w hrend der Installation ob die neue Software auf den Pilotsystemen ordnungsgem ausgef hrt wird und berwachen Sie die ePO Protokolle hinsichtlich Serverereignissen und wesentlicher Auswirkungen auf die Netzwerkleistung Es k nnen ein paar Probleme auftreten Aus diesem Grund sind ein Pilot und ein langsames Rollout wichtig Gehen Sie folgenderma en vor 1 berpr fen Sie ob die Host IPS Dienste FireSvc exe mfefire exe mfevtp exe und der Framework Dienst McAfeeF
53. ie Regeln nach jedem Richtlinienerzwingungsintervall gel scht e berpr fen Sie die erstellten Ausnahmen Deaktivieren Sie den adaptiven Modus wenn Sie die berpr fung nicht vornehmen k nnen um zu vermeiden dass risikoreiche Aktivit ten zugelassen werden e Aktivieren Sie den adaptiven Modus kurz um Ausnahmen f r eine neue Anwendung zu erstellen und f gen Sie sie dann einer Richtlinie hinzu Einzelheiten zum Verwenden von IPS Richtlinien im adaptiven Modus finden Sie im Produkthandbuch unter Konfigurieren von IPS Richtlinien Einzelheiten zum Verwenden von Firewall Richtlinien im adaptiven Modus finden Sie im Produkthandbuch unter Konfigurieren von Firewall Richtlinien HINWEIS Im adaptiven Modus k nnen adaptive und nicht adaptive Aktivit ten ausgef hrt werden Regeln von denen diese Aktivit ten zugelassen werden werden ohne Best tigung des Administrators erstellt Pro erstellter Regel wird nur ein Ausnahmeereignis protokolliert Daher werden dieselben Aktivit ten nach dem Erstellen der Regel nicht dokumentiert Sie erhalten nur eine Benachrichtigung Aus diesem Grund m ssen Sie sorgf ltig pr fen und antworten um unzul ssige Regeln zu verhindern 6 Feinabstimmung 26 Nachdem Sie die Basisantworten f r Aktivit ten erstellt und abgestimmt haben k nnen Sie mit dem Erh hen der Schutz und Erzwingungsstufen beginnen W hlen Sie dazu die entsprechende Kategorie der Richtlinie IPS Schutz aus Diese Abstimmungsschrit
54. ien durch sammeln Ereignisinformationen und bertragen diese Informationen ber McAfee Agent zur ck an ePolicy Orchestrator _Bearbeiten aller Host IPS Client Richtiinien Host IPS Administrator ePO Server und Repository u Ereignisse Client Regeln Richtlinienaktualisierungen Inhaltsaktualisierungen ke Client Regeln Y Agent Richtlinienaktualisierungen Inhaltsaktualisierungen Host IPS Administrator 4 Bearbeliten von Host IPS Client Einstellungen _ Host IPS Client Host IPS Client Benutzer Abbildung 1 Schutz durch Host Intrusion Prevention Inhalt gt Komponenten gt Installations bersicht gt Neuheiten in dieser Version McAfee Host Intrusion Prevention 8 0 Installationshandbuch Installieren von McAfee Host Intrusion Prevention Komponenten Komponenten F r die Host Intrusion Prevention Software m ssen verschiedene Komponenten installiert sein und ausgef hrt werden um Schutz zu gew hrleisten Host Intrusion Prevention Komponenten e Policy Orchestrator Server und Repository das Verwaltungstool zur Installation von Client Software Ubertragung neuer Richtlinien Uberwachung von Client Aktivitaten Erstellung von Berichten sowie Speicherung und Verteilen von Inhalts und Client Aktualisierungen e McAfee Agent der auf einem verwalteten System installierte Server Agent der als Mittler zwischen dem Host Intrusion Prevention Client sowie ePolicy Orchestrator Se
55. ingt den IPS Schutz bevor Sie einen Installationsversuch unternehmen Task 1 Kopieren Sie die entsprechende rpm Datei aus dem Client Installationspaket auf das Linux System Red Hat Linux Enterprise 4 32 Bit Version 1 MFEhiplsm kernel 8 0 0 lt build nummer gt RH4 1386 rpm 2 MFEhiplsm 8 0 0 lt build nummer gt RH4 i386 rpm Red Hat Linux Enterprise 4 64 Bit Version 1 MFEhiplsm kernel 8 0 0 lt build nummer gt RH4 x86_64 rpm 2 MFEhiplsm apache 8 0 0 lt build nummer gt RH4 x86_64 rpm 3 MFEhiplsm 8 0 0 lt build nummer gt RH4 i386 rpm Red Hat Linux Enterprise 5 32 Bit Version 1 MFEhiplsm kernel 8 0 0 lt build nummer gt RH5 i386 rpm 2 MFEhiplsm 8 0 0 lt build nummer gt RH5 i386 rpm Red Hat Linux Enterprise 5 64 Bit Version 1 MFEhiplsm kernel 8 0 0 lt build nummer gt RH5 x86_64 rpm 2 MFEhiplsm apache 8 0 0 lt build nummer gt RH5 x86_64 rpm 3 MFEhiplsm 8 0 0 lt build nummer gt RH5 i386 rpm SUSE Linux Enterprise 10 32 Bit Version 1 MFEhiplsm kernel 8 0 0 lt build nummer gt SUSE10 i386 rpm 2 MFEhiplsm 8 0 0 lt build nummer gt SUSE10 i386 rpm SUSE Linux Enterprise 10 64 Bit Version 1 MFEhiplsm kernel 8 0 0 lt build nummer gt SUSE10 x86_64 rpm 2 MFEhiplsm apache 8 0 0 lt build nummer gt SUSE10 x86_64 rpm 3 MFEhiplsm 8 0 0 lt build nummer gt SUSE10 i386 rpm SUSE Linux Enterprise 11 32 Bit Version 1 MFEhiplsm kernel 8 0 0 lt build nummer gt SUSE11 i386 rpm 2 MFEhipl
56. ion des Windows Clients Sie k nnen die Client Software auch lokal also ohne ePolicy Orchestrator zu verwenden auf einer Windows Workstation einem Windows Notebook oder einem Windows Server installieren Sie k nnen dies manuell ausf hren oder eine Drittanbieter Software f r die Verteilung auf eine Sammlung von Systemen verwenden Vorbereitung Ist eine Vorg ngerversion des Clients vorhanden deaktivieren Sie unbedingt den IPS Schutz bevor Sie einen Installationsversuch unternehmen Task 1 Kopieren Sie die Client Installationspaketdatei auf den Client Computer 2 F hren Sie das Installationsprogramm McAfeeHip_ClientSetup exe im Paket aus 3 Befolgen Sie die auf dem Bildschirm angezeigten Anweisungen um die Installation fertigzustellen Anwenden von Richtlinien und IPS Inhaltsaktualisierungen 38 Nach der Installation des Clients sollten Sie pr fen ob Systeminformationen und Host Intrusion Prevention 8 0 Eigenschaften der ePO Konsole ePolicy Orchestrator gemeldet werden Einzelheiten finden Sie im Produkthandbuch von ePolicy Orchestrator Sie k nnen jetzt IPS Richtlinien f r den Windows Client berwachen und ausbringen Einzelheiten finden Sie im Host Intrusion Prevention 8 0 Produkthandbuch Um sicherzustellen dass der Client ber die aktuellsten Inhalte verf gt laden Sie das neueste Host Intrusion Prevention Inhaltsaktualisierungspaket herunter und checken es zur Ausbringung in das ePO Repository ein Der Client
57. itraum nur einige Tage Zwischen den einzelnen Stufen muss jedoch Zeit verstreichen damit vom Produkt die Verwendungsdaten erfasst werden k nnen die f r die Anpassung erforderlich sind Die Hauptvariable bei der Implementierung ist der Umfang an Systemen und Benutzerprofilen am Standort Je breiter die Benutzergruppe gef chert ist desto l nger dauert es McAfee Host Intrusion Prevention auf allen ausgew hlten Systemen zu implementieren Die Schutzoptionen m ssen aktiviert werden ohne die Produktivit t der Benutzer und die Funktionsf higkeit von Anwendungen zu beeintr chtigen F r jedes wichtige System und Benutzerprofil sollten Anpassungen und Tests durchgef hrt werden In vielen Umgebungen m ssen die Ausbringung die Migration auf den Blockiermodus und die Verwendung der Firewall vom IT Management genehmigt werden Kalkulieren Sie f r diese Genehmigungen eine Zeitreserve ein HINWEIS Einzelheiten zu den Aspekten dieses Prozesses finden Sie im Host Intrusion Prevention 8 0 Produkthandbuch Tabelle 2 M gliche Schwierigkeiten und L sungen Diese Dinge sollten Sie unbedingt vermeiden Empfohlene bew hrte Vorgehensweisen Signaturen mittleren und hohen Schweregrads blockieren Blockieren Sie zun chst nur Signaturen mit hohem ohne zun chst das Protokoll zu pr fen Schweregrad Bei dieser Stufe besteht Schutz an den wichtigsten Schwachstellen und es werden nur wenige Fehlereignisse ausgel st Signaturen mittleren Schweregrads b
58. l_hip_solaris aus dem Client Installationspaket herunter 2 Melden Sie sich als Root Benutzer an und f hren Sie folgenden Befehl aus install_hip_solaris MFEhip pkg Anwenden von Richtlinien und IPS Inhaltsaktualisierungen Nach der Installation des Clients sollten Sie pr fen ob Systeminformationen und Host Intrusion Prevention 8 0 Eigenschaften dem ePO Server ePolicy Orchestrator gemeldet werden Einzelheiten finden Sie im Produkthandbuch von ePolicy Orchestrator Sie k nnen jetzt IPS Richtlinien f r den Solaris Client berwachen und ausbringen Einzelheiten finden Sie im McAfee Host Intrusion Prevention 8 0 Produkthandbuch Um sicherzustellen dass der Client ber die aktuellsten Inhalte verf gt laden Sie das neueste Host Intrusion Prevention Inhaltsaktualisierungspaket herunter und checken es zur Ausbringung in das ePO Repository ein Einzelheiten zu diesem Vorgang finden Sie im Abschnitt Aktualisierungen zum Host IPS Schutz im McAfee Host Intrusion Prevention Produkthandbuch Entfernen des Solaris Clients Der Host Intrusion Prevention Client kann per Remote Vorgang entfernt werden F hren Sie hierzu ber den ePolicy Orchestrator Server oder direkt auf dem Client Computer einen Ausbringungs Task aus ber den ePO Server e F hren Sie einen Ausbringungs Task f r den Client aus und w hlen Sie als Aktion f r Host Intrusion Prevention die Option Entfernen aus Direkt auf dem Client Computer Vor dem manuellen Entf
59. m chten deaktivieren Sie zun chst den IPS Schutz Verwenden Sie eine der folgenden Vorgehensweisen e Legen Sie in der ePO Konsole f r IPS Optionen den Wert Aus fest und wenden Sie dann die Richtlinie auf den Client an e Melden Sie sich als Root Benutzer an und f hren Sie folgenden Befehl aus hipts engines MISC off 2 F hren Sie folgenden Befehl aus hipts agent off McAfee Host Intrusion Prevention 8 0 Installationshandbuch 53 Installieren des Linux Clients Neustarten des Linux Clients Neustarten des Linux Clients Im Rahmen der Fehlerbehebung m ssen Sie einen derzeit ausgef hrten Client m glicherweise anhalten und neu starten Task 1 Um einen Client neu zu starten f hren Sie folgenden Befehl aus hipts agent on 2 Aktivieren Sie den IPS Schutz Gehen Sie gem einer der nachfolgenden Methoden vor je nachdem mit welcher Sie den Client angehalten haben e Legen Sie in der ePO Konsole f r IPS Optionen den Wert Ein fest und wenden Sie dann die Richtlinie auf den Client an e Melden Sie sich als Root Benutzer an und f hren Sie folgenden Befehl aus hipts engines MISC on 54 McAfee Host Intrusion Prevention 8 0 Installationshandbuch
60. nahmen berpr fen und bei Bedarf Regeln manuell erstellen m ssen Ein Benutzer f hrt beispielsweise alle vier Monate einmal eine Anwendung aus und verpasst die Protokollierungsphase und die Phase des adaptiven Modus Im adaptiven Modus werden alle Signaturen mit hohem Schweregrad standardm ig blockiert Verwenden Sie daher den adaptiven Modus um Signaturen mit mittlerem und hohem Schweregrad zu verwalten Diese Kombination bietet Ihnen einen guten berblick ber die Aktivit ten ohne viele St rdaten Im adaptiven Modus werden Ausnahmeregeln sehr effizient erstellt Es ist jedoch unwahrscheinlich dass alle Aktivit ten auf einem bestimmten System zugelassen sind oder Sie keine neuen Schutzma nahmen in Betracht ziehen Aus diesem Grund sollten Sie den adaptiven Modus nur f r einen begrenzten Zeitraum verwenden berpr fen Sie alle erstellten Ausnahmen es gibt nur eine Instanz f r jede Ausnahme und deaktivieren Sie unzul ssige Regeln die im adaptiven Modus erstellt werden Wenn Sie den adaptiven Modus anwenden w hlen Sie die Richtlinienoption Client Regeln speichern aus Andernfalls werden die neuen Regeln in jedem Richtlinienerzwingungsintervall gel scht und m ssen neu erstellt werden Wenn Sie letztlich den adaptiven Modus deaktivieren und zur Erzwingung wechseln deaktivieren Sie die Option Client Regeln speichern und entfernen Sie alle Regeln die nicht von einer durch ePO bereitgestellten Richtlinie erzwungen werden An
61. nd Sun Web Server wobei verst rkt auf das Verhindern von Buffer Overflow Angriffen geachtet wird Inhalt gt Details zum Solaris Client gt Anwenden von Richtlinien und IPS Inhaltsaktualisierungen Entfernen des Solaris Clients gt Fehlerbehebung bei Solaris Installationsproblemen gt Anhalten des Solaris Clients gt Neustarten des Solaris Clients Details zum Solaris Client 42 Der Host Intrusion Prevention 8 0 Client f r Solaris kann mit ePolicy Orchestrator 4 0 und h her McAfee Agent 4 0 und der Host Intrusion Prevention 8 0 Verwaltungskomponente verwendet werden Detaillierte Informationen zur Installation und Verwendung von ePolicy Orchestrator finden Sie im Installationshandbuch von ePolicy Orchestrator Mindestanforderungen an die Hardware e SPARC sun4u sun4v 32 und 64 Bit Plattform e 256 MB RAM e 10 MB freier Speicherplatz auf der Festplatte Unterst tzte Betriebssysteme e SPARC Solaris 9 sun4u 32 Bit oder 64 Bit Kernel e SPARC Solaris 10 sun4u sun4v 64 Bit Kernel Unterstiitzte Web Server e Apache Web Server ab Version 1 3 6 e Apache Web Server ab Version 2 0 42 e Apache Web Server ab Version 2 2 3 e Sun Java Web Server 6 1 McAfee Host Intrusion Prevention 8 0 Installationshandbuch Installieren des Solaris Clients Details zum Solaris Client e Sun Java Web Server 7 0 Richtlinienerzwingung F r den Solaris Client stehen nicht alle Host Intrusion Prevention 8 0 Richtlinien zur Verf g
62. nd Erweiterung Die vorherigen Schritte erl utern den grundlegenden Rollout Prozess Sobald auf Ihren Systemen die mittleren Schutzstufen bereitgestellt sind besteht erweiterter Systemschutz Sie m ssen regelm ig berwachungen vornehmen Richtlinien aktualisieren und Systeme verwalten Ziehen Sie nun auch die Erweiterung der zu sch tzenden Systeme und die Verbesserung des Schutzes in Erw gung und schlie en Sie strengere Richtlinien und andere Host IPS Funktionen ein Verwaltung McAfee ver ffentlicht h ufig Inhaltsaktualisierungen f r neue Signaturen und vereinzelt auch Funktionsaktualisierungen und Patches Vorschl ge f r bew hrte Methoden umfassen Folgendes e Legen Sie einen regelm igen Aktualisierungszeitplan fest damit der ePO Server Aktualisierungen aus dem McAfee Repository abruft und Ihre Clients diese Aktualisierungen erhalten e Rufen Sie Host IPS Inhalt f r den Testzweig Ihres Repository zum Testen einer Pilotsystemgruppe auf wenn Sie ber eine gro e Anzahl von benutzerdefinierten Anwendungen verf gen f r die w hrend der ersten Rollouts eine Abstimmung erforderlich war Sobald der neue Inhalt von der Pilotgruppe zertifiziert wurde k nnen Sie ihn in den aktuellen Zweig f r die gesamte Bereitstellung verschieben McAfee Host Intrusion Prevention 8 0 Installationshandbuch 27 28 Bew hrte Vorgehensweisen f r einen einfachen Weg zum Erfolg 7 Ausf hren der Wartung und Erweiterung Planen Sie Inhaltsdo
63. nd klicken Sie dann auf OK Die XML Datei wird in das Richtlinienformat von Version 8 0 konvertiert 4 Klicken Sie mit der rechten Maustaste auf den Link der konvertierten XML Datei und speichern Sie sie f r den Import 5 Importieren Sie die XML Datei in den ePO Richtlinienkatalog Einzelheiten zum Importieren und Exportieren von Richtlinien finden Sie in der Dokumentation zu ePolicy Orchestrator 34 McAfee Host Intrusion Prevention 8 0 Installationshandbuch Installieren des Windows Clients In diesem Abschnitt finden Sie Informationen zu den Anforderungen und Eigenschaften sowie zur Installation des McAfee Host Intrusion Prevention 8 0 Windows Clients fiir Workstations und Server Inhalt gt Details zum Windows Client gt Remote Installation des Windows Clients gt Lokale Installation des Windows Clients gt Anwenden von Richtlinien und IPS Inhaltsaktualisierungen Entfernen des Windows Clients Details zum Windows Client Diese Version des McAfee Host Intrusion Prevention 8 0 Clients f r Windows kann mit ePolicy Orchestrator 4 0 und h her McAfee Agent 4 0 und h her sowie der McAfee Host Intrusion Prevention 8 0 Erweiterung verwendet werden Detaillierte Informationen zur Installation und Verwendung von ePolicy Orchestrator sowie zu den Anforderungen an das System die Datenbank und die Software finden Sie im Installationshandbuch von ePolicy Orchestrator Mindestanforderungen an die Hardware Hardware Anforderungen und
64. ockierungen zuzulassen Hauptbenutzer und Server ben tigen mehr Zeit zum Nachvollziehen der legitimen Verwendung berwachung und Protokollierung Da das Vertrauen w hrend der Pilotphase w chst k nnen Sie Signaturen von der Protokollierung zur aktiven Erzwingung nach Systemklasse Abstimmungsregeln und Verfeinerungsrichtlinien verschieben indem Sie lernen welche Aktivit ten legitim sind Dieser Prozess wird weiter hinten in diesem Handbuch beschrieben W hrend Sie den Standardschutz auf Ihren standardm igen Desktop Systemen aktivieren k nnen Sie auch die Protokollierung von Problemen mit mittlerem Schweregrad auf dem System initiieren Mit dieser berwachung k nnen Sie andere Ereignisse ermitteln die von der IPS Funktion gekennzeichnet werden wenn Sie mit dem engeren Blockieren von Steuerelementen beginnen Im Protokollierungsmodus sehen Sie den Verwendungsanteil sowie die Verwendungstypen damit Sie mehr ber das Systemverhalten erfahren k nnen Die Protokollierung wird in dieser ersten Phase empfohlen um b se berraschungen und St rungen zu vermeiden Ereignisse sollten f r einen vollst ndigen Gesch ftszeitraum mindestens einen Monat und vielleicht ein gesamtes Quartal protokolliert werden um das gesamte Ausma von Anwendungen und Aktivit ten zu sehen Verwenden Sie die Richtlinie Erweiterten Schutz vorbereiten um Ereignisse automatisch zu protokollieren Mit dieser Einstellung werden Signaturen mit hohem Schweregrad
65. prise 4 32 Bit Version e 2 6 9 5 EL e 2 6 9 5 Elhugemem e 2 6 9 5 ELsmp e Red Hat Linux Enterprise 4 64 Bit Version e 2 6 9 5 EL e 2 6 9 5 ELsmp e Red Hat Linux Enterprise 5 32 Bit Version e 2 6 18 8 el5 McAfee Host Intrusion Prevention 8 0 Installationshandbuch Installieren des Linux Clients Details zum Linux Client e 2 6 18 8 el5PAE e Red Hat Linux Enterprise 5 64 Bit Version e 2 6 18 8 el5 e SUSE Linux Enterprise 10 32 Bit Version e 2 6 16 21 0 8 bigsmp e 2 6 16 21 0 8 default e 2 6 16 21 0 8 smp e SUSE Linux Enterprise 10 64 Bit Version e 2 6 16 21 0 8 default e 2 6 16 21 0 8 smp e SUSE Linux Enterprise 11 32 Bit Version e 2 6 27 19 5 default e 2 6 27 19 5 pae e SUSE Linux Enterprise 11 64 Bit Version e 2 6 27 19 5 default Unterst tzte Web Server e Apache Web Server ab Version 1 3 6 e Apache Web Server ab Version 2 0 42 e Apache Web Server ab Version 2 2 3 Dateisystemschutz und HTTP Schutz Der Linux Client sch tzt Betriebssystemdateien und prozesse Er bietet keinen Netzwerkschutz keinen Buffer Overflow Schutz und keine berwachung des HTTP Verkehrs Richtlinienerzwingung mit dem Linux Client F r den Linux Client stehen nicht alle Host Intrusion Prevention 8 0 Richtlinien zur Verf gung Host Intrusion Prevention sch tzt also den Host Server vor sch dlichen Angriffen bietet jedoch keinen Firewall Schutz Die g ltigen Richtlinien sind hier aufgelistet HIP 8 0 ALLGEMEIN Nur Administrator
66. r dass Sie mindestens eines der jeweiligen Benutzungsprofile einschlie en damit von McAfee Host Intrusion Prevention Richtlinien f r das gesamte Verwendungsspektrum ermittelt und erstellt werden Rollout Strategie 1 Einfach starten F r eine schnelle Implementierung des anf nglichen Schutzes und eine m glichst aufwandsfreie Lernkurve hin zum erweiterten Schutz wird die Aktivierung des Basisschutzes auf standardisierten Desktops und Laptops sowie die Aktivierung der Protokollierung auf den Hauptbenutzer Desktops und Servern empfohlen Aktivieren Sie zun chst den Schutz indem Sie die Richtlinie IPS Optionen mit ausgew hltem IPS Schutz anwenden und wenden Sie dann die Basisrichtlinie McAfee Standard IPS Regeln an Diese Richtlinie blockiert Aktivit ten die Signaturen mit hohem Schweregrad ausl sen keine Abstimmung erfordern und wenig Ereignisse generieren Ihre Einstellungen umfassen e Aktivit ten die Signaturen mit hohem Schweregrad ausl sen werden blockiert und alle anderen Signaturen werden ignoriert e McAfee Anwendungen werden f r alle Regeln au er den IPS Selbstschutzregeln als vertrauensw rdige Anwendungen aufgef hrt Als vertrauensw rdige Anwendungen generieren sie beim Verwenden keine Ausnahmeereignisse e Vordefinierte Anwendungen und Prozesse werden gesch tzt Obwohl die Fabrikate und Modelle von Computern unterschiedlich sind liegen diese Unterschiede jedoch relativ nah beieinander Auf Grund umfangreicher
67. r Sie den Client angehalten haben e Legen Sie in der ePO Konsole f r IPS Optionen den Wert Ein fest und wenden Sie dann die Richtlinie auf den Client an e Melden Sie sich als Root Benutzer an und f hren Sie folgenden Befehl aus hipts engines MISC on McAfee Host Intrusion Prevention 8 0 Installationshandbuch 47 Installieren des Linux Clients In diesem Abschnitt finden Sie Informationen zu den Anforderungen und Eigenschaften sowie zur Installation des McAfee Host Intrusion Prevention 8 0 Linux Clients der potentiell sch dliche Versuche die Dateien und Anwendungen auf einem Linux Server zu manipulieren erkennt und unterbindet Inhalt gt Details zum Linux Client gt Anwenden von Richtlinien und IPS Inhaltsaktualisierungen Entfernen des Linux Clients gt Fehlerbehebung bei Linux Installationsproblemen Anhalten des Linux Clients gt Neustarten des Linux Clients Details zum Linux Client 48 Der Host Intrusion Prevention 8 0 Client f r Linux kann mit ePolicy Orchestrator 4 0 und h her McAfee Agent 4 0 und der Host Intrusion Prevention 8 0 Verwaltungskomponente verwendet werden Detaillierte Informationen zur Installation und Verwendung von ePolicy Orchestrator finden Sie im Installationshandbuch von ePolicy Orchestrator Mindestanforderungen an die Hardware e Intel oder AMD x86 und x64 e 512 MB RAM e 20 MB freier Speicherplatz auf der Festplatte Unterst tzte Betriebssysteme e Red Hat Linux Enter
68. ramework exe gestartet wurden 2 Sehr wichtig F hren Sie einfache Anwendungen wie Buchhaltungs Dokumentbearbeitungs E Mail Internetzugriffs Multimedia oder Entwicklungs Tools aus um zu testen ob sie ordnungsgem ausgef hrt werden K nnen Ihre Benutzer ihre Standardaufgaben ausf hren Sie sollten die ordnungsgem e Erkennung w hrend des Betriebs veranschaulichen und validieren 3 Wenn Sie Probleme auf dem Client feststellen k nnen Sie die IPS Client Protokolle und die Client Betriebssystemprotokolle auf Fehler berpr fen Informationen finden Sie im Produkthandbuch unter Arbeiten mit Host Intrusion Prevention Clients 4 Wiederholen Sie diese Schritte um den Schutz auf weitere Systeme zu erweitern bis Sie die Pilotgruppe aufgef llt haben TIPP Nehmen Sie bei jeder Installation oder Richtlinien nderung Tests vor um sicherzustellen dass die Endbenutzer ihre Aufgaben erfolgreich ausf hren k nnen Diese Tests sind m glicherweise die wichtigste Aktivit t beim Sicherstellen eines erfolgreichen Rollouts 4 Grundanpassung Wenn die Pilotgruppe steht ist es jetzt Ihre Aufgabe zu warten und die Situation zu beobachten Warten Sie zwischen zwei und sieben Tagen bis eine gr ere Anzahl an Ereignissen vorliegt und reagieren Sie auf m gliche Support Anrufe T gliche berwachung Reservieren Sie t glich einige Minuten f r die Durchsicht der IPS Ereignisprotokolle und die berwachung von Aktivit tsumfang und
69. rden Der adaptive Modus bietet jedoch ein leistungsstarkes Tool zum Erstellen von IPS Regelrichtlinien basierend auf der Hostaktivit t und ohne Interaktion des Administrators Da eine Anwendung verwendet wird wird eine Ausnahme erstellt um alle Aktionen zuzulassen Im adaptiven Modus werden keine IPS Ereignisse ausgel st und es wird keine Aktivit t blockiert Dies gilt nicht f r b sartige Angriffe Signaturen mit hohem Schweregrad Ausnahmen werden vom ePO Server als IPS Client Regeln protokolliert damit Sie den Fortschritt berwachen k nnen Indem Sie f r repr sentative Hosts w hrend der Pilotphase den adaptiven Modus festlegen k nnen Sie f r jedes Verwendungsprofil oder jede Anwendung eine Abstimmungskonfiguration erstellen Die IPS Funktion erm glicht es Ihnen anschlie end beliebige alle oder keine Client Regeln anzuwenden und sie in Serverrichtlinien umzuwandeln Deaktivieren Sie den adaptiven Modus wenn die Abstimmung abgeschlossen ist um den Eindringschutz des Systems zu erh hen Mit dem Protokollierungsmodus konnten Sie die H ufigkeit von Aktivit ten nachvollziehen Entsprechend erfahren Sie im adaptiven Modus das volle Ausma und den Typ von Aktivit ten Diese beiden Tools zusammen bieten eine gute Funktionsbasis f r die legitimen Gesch ftsaktivit ten Ihrer Organisation Sie sollten mit unregelm igen Aktivit ten rechnen die w hrend der Pilotphase nicht erfasst werden Stellen Sie sich darauf ein dass Sie Aus
70. ren 6010 und 6011 in der Richtlinien f r Host IPS Regeln ersetzt e Die Richtlinien f r Firewall Quarant ne Optionen und Quarant ne Regeln wurden entfernt und die Systemstart Quarant ne Option wurde in eine Option zum Schutz bei Systemstart in den Firewall Optionen verschoben e Neuer Host IPS Katalog zum Organisieren und Erm glichen der erneuten Verwendung h ufig verwendeter Richtlinienkomponenten f r Richtlinien insbesondere Firewall Gruppen Regeln Standort ausf hrbare Dateien und Netzwerke e Einzelne im gesamten Produkt verwendete Standardplatzhalter e In einem allgemeinen Ordner gespeicherte Protokolle von denen einige f r eine einfache Lesbarkeit vereinfacht wurden Unterst tzte Plattformen e Vollst ndige Funktionsparit t f r Windows Plattformen mit 32 Bit und 64 Bit e Hinzugef gt Unterst tzung von Windows 7 Linux SUSe10 SP3 SUSe 11 Solaris Zone Entfernt Windows 2000 Solaris 8 und SUSe Linux 9 SQL Unterst tzung e Hinzugef gt SQL 2005 SQL 2008 Entfernt SQL Server 2000 Erweiterungs Client Funktionalit t e Zwei Versionen von Host Intrusion Prevention 8 0 eine reine Firewall Version und eine vollst ndige Version mit Firewall und IPS Schutz e Host IPS Erweiterungskompatibilitat mit den Versionen 4 0 4 5 und 4 6 von ePolicy Orchestrator e M glichkeit zum Installieren der Host IPS 8 0 Erweiterung in ePolicy Orchestrator selbst wenn fr here Versionen von Host IPS installiert sind
71. rmationen finden Sie unter Installieren von ePolicy Orchestrator Als letzten Schritt installieren Sie Host Intrusion Prevention auf den Client Computern unter Windows Linux oder Solaris auf denen bereits eine Version von McAfee Agent installiert ist Detaillierte Informationen finden Sie unter Installieren des Windows Clients Installieren des Solaris Clients bzw Installieren des Linux Clients HINWEIS Die Firewall Funktion von Host Intrusion Prevention gilt nur fur Windows Plattformen Auf Grund von Architektur nderungen in dieser Version werden Host Intrusion Prevention 8 0 Clients nur von der Host Intrusion Prevention 8 0 Erweiterung verwaltet Sie k nnen jedoch die Erweiterung von Version 7 0 neben der Erweiterung von Version 8 0 beibehalten und fr here McAfee Host Intrusion Prevention 8 0 Installationshandbuch Installieren von McAfee Host Intrusion Prevention Installations bersicht Client Versionen verwalten bis Sie f r die Migration zu einer Umgebung von Version 8 0 bereit sind Detaillierte Informationen zur Migration finden Sie unter Migrieren von Richtlinien Tabelle 1 Komponentenversionen Auf dem ePolicy Orchestrator Server Auf den Client Systemen Version Host Windows Solaris IPS 8 0 Erweiterungen 4 0 Patch Nur Firewall f r ePO 4 0 McAfee Agent 4 0 6 und Patch 3 und h her h her oder McAfee Agent 4 5 Patch 1 und h her f r Windows Host IPS 8 0 Client Firewall und IPS f r ePO 4 0 McAfee Agent 4 0
72. rnen welche Aktivit ten legitim sind Dieser Prozess wird weiter hinten in diesem Handbuch beschrieben Rollout Strategie 2 Standardrichtlinien verwenden Bei einigen Umgebungen ist es legitim das Fachwissen von McAfee zu nutzen das in den Standardeinstellungen steckt und das Basisschutzprofil f r alle Systeme zu verwenden Diese Methode eignet sich f r Benutzer die den IPS Grundschutz verwenden m chten ohne viele Abstimmungen vorzunehmen oder gro en Aufwand zu treiben Wenn IPS nicht der Hauptgrund f r den Erwerb des Produkts ist bietet diese Strategie eine Bereitstellung mit minimalem Aufwand die sofortigen Schutz vor den gro en Angriffen bietet McAfee Host Intrusion Prevention 8 0 Installationshandbuch Bew hrte Vorgehensweisen f r einen einfachen Weg zum Erfolg 2 Vorbereiten einer Pilotumgebung Auswahlen der Strategie Mit Strategie 1 k nnen Sie vom besten Schutz Ihrer IPS Investition profitieren Strategie 2 stellt eine zuverl ssige Strategie mit geringem Aufwand dar Entscheiden Sie sich f r die Strategie die Ihrem Risiko dem Sie ausgesetzt sind am besten gerecht wird 2 Vorbereiten einer Pilotumgebung Nachdem Sie Ihre Priorit ten Ziele und Schutzstrategie definiert haben sollten Sie sicherstellen dass Ihre Umgebung den technischen Voraussetzungen entspricht und vor der Installation eventuelle Systemfehler beseitigen Mit dieser Vorbereitungsarbeit k nnen Sie sich auf die IPS Bereitstellung konzentrieren
73. rver und Datenbank fungiert Er sendet Daten vom ePO Server an den Client und umgekehrt e Host Intrusion Prevention Erweiterungen die Schnittstelle f r die Richtlinienverwaltung in der ePolicy Orchestrator Konsole e Host Intrusion Prevention Client Hauptsoftwarekomponente die Intrusionsschutz auf der Arbeitsstation oder dem Server bietet auf dem er installiert ist e Host Intrusion Prevention Inhaltsaktualisierungen nur IPS Schutz aktualisierte Sicherheitsinhalte einschlie lich Signaturen und vertrauensw rdigen Anwendungen die in regelm igen Zeitabst nden bertragen werden um den Intrusionsschutz auf dem aktuellen Stand zu halten Installations bersicht Host Intrusion Prevention wird nur in einer ePolicy Orchestrator Umgebung installiert Ein ePO Server und eine ePO Datenbank m ssen einsatzbereit sein und auf jedem Client System auf dem Host Intrusion Prevention installiert werden soll muss McAfee Agent installiert sein Einzelheiten zu Anforderungen und Anleitungen zur Einrichtung dieser ePO Umgebung finden Sie im Installationshandbuch von ePolicy Orchestrator Sobald ePO Server und Agenten eingerichtet sind installieren Sie die entsprechende Host Intrusion Prevention Erweiterung in ePO Durch die von Ihnen erworbene Version des Produkts nur Firewall Schutz oder Firewall und IPS Schutz und die von Ihnen verwendete ePO Version wird bestimmt welche Erweiterungen installiert werden m ssen Detaillierte Info
74. s mehrere Punkte zu pr fen So k nnen Sie beispielsweise sicherstellen dass alle erforderlichen Dateien im richtigen Verzeichnis installiert wurden und dass der Client ausgef hrt wird Zudem k nnen Sie die Prozessprotokolle zurate ziehen berpr fen der Windows Installationsdateien Vergewissern Sie sich nach der Installation dass Ordner und Dateien auf dem Client installiert wurden Der Ordner C Programme McAfee Host Intrusion Prevention sollte installiert worden sein und folgende grundlegenden Dateien und Ordner enthalten Dateiname Beschreibung FireSvc exe VSCore Release mfefire exe Host Intrusion Prevention Dienste VSCore Release mfrvtp exe McAfeeFire exe Client Konsole McAfee Host Intrusion Prevention 8 0 Installationshandbuch 40 Installieren des Windows Clients Fehlerbehebung bei Windows Installationsproblemen Der Installationsverlauf wird in die Datei C Windows Temp McAfeeLogs McAfeeHip8_Install_ lt version gt log geschrieben Mit folgendem Eintrag in der Datei wird die vorschriftsm ige Installation des Clients sichergestellt Product McAfee Host Intrusion Prevention Installation operation completed successfully Produkt McAfee Host Intrusion Prevention Installation erfolgreich abgeschlossen Protokolldateien sind unter Vista und Windows 7 im Verzeichnis C Dokumente und Einstellungen Alle Benutzer Anwendungsdaten McAfee Host Intrusion Prevention bzw C ProgramData McAfee Host Intrusion Prevention
75. sierung helfen Definieren der Pilotumgebung W hlen Sie eine kleine Gruppe von Pilotsystemen aus auf denen eine Testanpassung ausgef hrt wird Indem Sie maximal 100 Knoten in drei Subnetzen ausw hlen k nnen Sie schrittweise von den anf nglichen konventionellen Schutzstufen zum neuen Schutz wechseln Bei einer schrittweisen Erweiterung k nnen Sie sofort auf Probleme reagieren sobald sie auftreten Differenzieren Sie die Hauptarten der Systeme und schlie en Sie sie selektiv in Ihren Pilot ein Von der geringsten bis zur h chsten Implementierungkomplexit t kann Host IPS Folgendes unterst tzen e Standardisierte Desktops oder Laptops f r die durchschnittliche Benutzer nicht ber Administratorrechte zum Installieren oder L schen von Anwendungen auf ihren Systemen verf gen Sie k nnen mehrere Benutzerprofile erstellen von denen jedes eine definierte Standardanwendungsumgebung aufweist e Angepasste Hauptbenutzer Desktops oder Laptops f r die spezialisierte Benutzer ber Administratorrechte zum Installieren eigener Anwendungen verf gen Zu den Hauptbenutzern geh ren in der Regel Administratoren und Softwareentwickler Gelegentlich werden Administratorrechte als Gesch ftsgegenstand angesehen Im Idealfall sollten diese Rechte auf Systemen f r die keine Administratorkontrolle erforderlich ist entfernt werden um den Bereich von Systemtypen zu reduzieren f r den Profile erstellt und Abstimmungen vorgenommen werden m ssen
76. sm 8 0 0 lt build nummer gt SUSE11 1386 rpm McAfee Host Intrusion Prevention 8 0 Installationshandbuch 51 Installieren des Linux Clients Anwenden von Richtlinien und IPS Inhaltsaktualisierungen e SUSE Linux Enterprise 11 64 Bit Version 1 MFEhiplsm kernel 8 0 0 lt build nummer gt SUSE11 x86_64 rpm 2 MFEhiplsm apache 8 0 0 lt build nummer gt SUSE11 x86_64 rpm 3 MFEhiplsm 8 0 0 lt build nummer gt SUSE11 i386 rpm 2 F hren Sie folgenden Befehl aus rpm i lt name der rpm datei gt und zwar f r jede RPM Datei in der angegebenen Reihenfolge HINWEIS Wenn Sie den Client von Version 7 1 0 aktualisieren m chten m ssen Sie das Linux System neu starten Anwenden von Richtlinien und IPS Inhaltsaktualisierungen Nach der Installation des Clients sollten Sie pr fen ob Systeminformationen und Host Intrusion Prevention 8 0 Eigenschaften dem ePO Server ePolicy Orchestrator gemeldet werden Einzelheiten finden Sie im Produkthandbuch von ePolicy Orchestrator Sie k nnen jetzt IPS Richtlinien f r den Linux Client berwachen und ausbringen Einzelheiten finden Sie im Host Intrusion Prevention 8 0 Produkthandbuch Um sicherzustellen dass der Client ber die aktuellsten Inhalte verf gt laden Sie das neueste Host Intrusion Prevention Inhaltsaktualisierungspaket herunter und checken es zur Ausbringung in das ePO Repository ein Einzelheiten zu diesen Vorg ngen finden Sie im Produkthandbuch von ePolicy Orchestrator Um sicher
77. sorientierte Endpunkt Firewall f r Windows Systeme und eine verwaltbare und skalierbare Intrusionspr ventionsl sung f r Arbeitsstationen Notebooks und unternehmenskritische Server einschlie lich Web und Datenbankservern unter Windows und anderen Betriebssystemen Mit Host Intrusion Prevention wird unerw nschter oder gef hrlicher Netzwerkverkehr blockiert Au erdem k nnen Zero Day und sonstige bekannte Angriffe mit patentierter und preisgekr nter Technologie proaktiv blockiert werden Es sind zwei Versionen von Host Intrusion Prevention 8 0 verf gbar eine reine Firewall Version und eine vollst ndige Version mit Firewall und IPS Schutz Verwaltbarkeit und Skalierbarkeit Der ePolicy Orchestrator verwaltet die Host Intrusion Prevention und erm glicht die Nutzung und Durchsetzung der Programmrichtlinien zusammen mit anderen kritischen Sicherheitsl sungen wie dem Virenschutz Dieser verwaltete Ansatz erh ht die Kommunikation zwischen Anwendungen und bietet eine umfassende L sung die die unternehmensweite Bereitstellung auf bis zu 100 000 Clientsystemen in mehreren Sprachen m glich macht und so eine umfassende globale Abdeckung bietet Sicherheit Host Intrusion Prevention kombiniert Verhaltensregeln Signaturen und eine statusbehaftete System Firewall f r die Blockierung von Angriffen und die Verringerung der Notwendigkeit neue Patches zum Schutz vor neuen Bedrohungen zu installieren Sie sind durch die Standardeinstellungen abg
78. tallieren Platzieren Sie dieses System in einem anderen Verwendungsprofil als Hauptbenutzer wenn Sie den Benutzeradministratorzugriff nicht entfernen k nnen e Organisatorische berlegungen Einige Systeme erfordern auf Grund der Verwendung einer anderen Sprache standortspezifischer Anwendungen oder interner Anwendungen besondere Aufmerksamkeit Ber cksichtigen Sie diese Systeme erst in einer zweiten Phase der Bereitstellung oder schlie en Sie spezielle Anwendungen vom IPS Schutz aus bis Sie Zeit haben ihr Verhalten zu protokollieren und zu analysieren 3 Installieren und Konfigurieren Installieren Sie auf dem ePO Server die Host IPS Erweiterung die die Schnittstelle f r die Host IPS Richtlinienverwaltung bereitstellt Importieren Sie den Host IPS Client in das ePO Repository McAfee Host Intrusion Prevention 8 0 Installationshandbuch 19 20 Bew hrte Vorgehensweisen f r einen einfachen Weg zum Erfolg 3 Installieren und Konfigurieren Suchen Sie im McAfee Serviceportal https mysupport mcafee com Eservice Default aspx nach Patches oder KnowledgeBase Artikeln Laden Sie aktualisierten Inhalt von http www mcafee com us downloads herunter Festlegen anfanglicher Schutzstufen und antworten Definieren Sie Schutzstufen f r jedes Verwendungsprofil oder weisen Sie sie zu Wenn Sie die Strategie das Einfachste zuerst verfolgen aktivieren Sie den Basisschutz f r ihre standardm igen Desktop Verwendungsprofile Einzelheit
79. te k nnen im Rahmen einer t glichen berwachung ausgef hrt werden M glicherweise m chten Sie aber eher die formalen iterativen Schritte des Pilots wiederholen Warten Sie nach jedem Schritt mindestens zwei Wochen bevor Sie weitere nderungen in Betracht ziehen um sicherzustellen dass die Systeme unter den vorhandenen Schutzstufen ordnungsgem ausgef hrt werden Basisschutz erweiterter und maximaler Schutz Mit der Kategorie Erweiterter Schutz der Richtlinie IPS Schutz werden Signaturen mit hoher und mittlerer Sicherheitsstufe verhindert und der Rest wird ignoriert Mit der Kategorie Erweiterten Schutz vorbereiten der Richtlinie wird zun chst der Zwischenschritt ausgef hrt bei dem die mittleren Sicherheitsstufen protokolliert werden Die Protokollierung bietet McAfee Host Intrusion Prevention 8 0 Installationshandbuch Bew hrte Vorgehensweisen f r einen einfachen Weg zum Erfolg 7 Ausf hren der Wartung und Erweiterung ausf hrliche Informationen dar ber welche Aktivit ten betroffen sind wenn Sie die Schutzstufe erh hen Sie dient als Hilfe bei der Richtlinienverwaltung und kann die Anzahl b ser berraschungen reduzieren Wenn die Gesch ftsabl ufe ohne St rungen fortgesetzt werden k nnen Sie statt der Basiseinstellungen den erweiterten Schutz verwenden Wiederholen Sie diese Aktionen f r die anderen Systeme in Ihrem Netzwerk Die Kategorie Maximaler Schutz der Richtlinie eignet sich f r die dediziertesten und g
80. tibilit t mit Unternehmenssystemen unter Zulassung legitimer Aktivit t Sorgen Sie daf r dass der IPS Netzwerkverkehr m glichst gering ist und Sie die Zahl der erfassten False Positives senken 5 Richtlinien in der Breite anwenden Wenn die neuen Richtlinien funktionieren k nnen Sie diese f r die relevanten Systeme bernehmen 6 T gliche berwachung fortsetzen Einzelheiten zur Verwendung von IPS Richtlinien finden Sie im Produkthandbuch unter Konfigurieren von IPS Richtlinien Dieser Abschnitt enth lt auch Informationen zum Einrichten von Signaturreaktionen und dem Erstellen von Ausnahmen und vertrauensw rdigen Anwendungen auf Grundlage von Ereignissen Details zur Verwendung von Firewall Richtlinien finden Sie im Produkthandbuch unter Konfigurieren von Firewall Richtlinien Konfigurieren von Dashboards und Berichten Die Ereignisse sind jetzt geordneter und genauer erfasst sodass Sie die Strukturierung und Kommunikation von IPS und Firewall Informationen mithilfe des ePO Servers optimieren k nnen e Konfigurieren Sie ePO Dashboards um einen schnellen berblick ber die jeweilige Richtlinien Compliance Ereignistrends Abfrageergebnisse und bestehende Probleme zu erhalten Speichern Sie bestimmte Dashboards um die t gliche berwachung die w chentliche berpr fung und Verwaltungsberichte festzuhalten e Konfigurieren Sie Benachrichtigungen damit bei bestimmten Ereignissen die zust ndigen Mitarbeiter gewarnt werd
81. tionsfolge Software Master Repository und klicken Sie dann auf Paket einchecken ePolicy Orchestrator 4 0 bzw w hlen Sie die Optionsfolge Aktionen Paket einchecken ePolicy Orchestrator 4 5 oder h her W hlen Sie Produkt oder Aktualisierung ZIP aus und klicken Sie dann auf Durchsuchen Machen Sie die zip Datei des Host IPS Client Pakets ausfindig und klicken Sie dann auf ffnen Klicken Sie auf Weiter und dann auf Speichern W hlen Sie die Optionsfolge Systeme Systemstruktur und w hlen Sie dann die Systemgruppe aus in der die Client Komponente installiert werden soll Wechseln Sie zu Client Tasks und klicken Sie dann auf Neuer Task ePolicy Orchestrator 4 0 bzw w hlen Sie die Optionsfolge Aktionen Neuer Task ePolicy Orchestrator 4 5 oder h her Vergeben Sie im Assistenten des Generators f r Client Tasks einen Namen f r den Task w hlen Sie in der Task Liste den Eintrag Produktausbringung aus und klicken Sie dann auf Weiter W hlen Sie die Client Plattform dann Host Intrusion Prevention 8 0 als das zu installierende Produkt und klicken Sie auf Weiter Planen Sie die Ausf hrung des Tasks klicken Sie auf Weiter und dann auf Speichern Sollten Sie den Task zur sofortigen Ausf hrung vorgesehen haben f hren Sie die Agentenreaktivierung durch McAfee Host Intrusion Prevention 8 0 Installationshandbuch 37 Installieren des Windows Clients Lokale Installation des Windows Clients Lokale Installat
82. tt behandeln TIPP Bei der Durchsicht von Protokolldaten bersehen Sie besondere Situationen die eine andere Entscheidung zu der entsprechenden Regel nach sich ziehen w rden Machen Sie bei ausf hrlichen berpr fungen Pausen um derartige Fehler zu vermeiden Grundanpassung des Schutzes Setzen Sie sich ausgehend von den Ereignisprotokolldaten die folgenden Ziele e Heben Sie den Schutz f r protokollierte Ereignisse an die blockiert werden sollten e Eliminieren Sie False Positives ausgehend von zul ssigen gesch ftlichen Aktivit ten Beginnen Sie mit den folgenden Aktionen 1 Reaktionen auf Signaturen bearbeiten Ber cksichtigen Sie dabei dass ein Client auf eine der drei folgenden Arten reagieren und entsprechend konfiguriert werden kann e Ignorieren Keine Reaktion Das Ereignis wird nicht protokolliert und der Vorgang nicht verhindert e Protokollieren Das Ereignis wird protokolliert der Vorgang jedoch nicht verhindert e Verhindern Das Ereignis wird protokolliert und der Vorgang wird verhindert Wenden Sie die Reaktion Verhindern auf alle Signaturen mit hohem Schweregrad an McAfee Host Intrusion Prevention 8 0 Installationshandbuch Bew hrte Vorgehensweisen f r einen einfachen Weg zum Erfolg 4 Grundanpassung 2 Ausnahmen erstellen Bestimmen Sie Ereignisse die legitimes Verhalten melden das zugelassen oder ggf zugelassen und protokolliert werden sollte Ausnahmeregeln setzen Sicherheitsrichtlinien unt
83. und potentielle Probleme vermeiden die nicht mit dieser Funktion in Verbindung stehen Installieren oder Aktualisieren von McAfee ePolicy Orchestrator und Agent Vor dem Installieren von McAfee Host Intrusion Prevention muss zun chst der ePolicy Orchestrator Server installiert werden und Sie m ssen McAfee Agent auf den Zielhosts installieren Sie m ssen ber Kenntnisse hinsichtlich der Richtlinienimplementierung mit ePolicy Orchestrator verf gen um McAfee Host Intrusion Prevention erfolgreich anpassen zu k nnen Wenn Sie noch nicht mit der Richtlinienerstellung mithilfe von ePolicy Orchestrator vertraut sind finden Sie in der Dokumentation zu ePolicy Orchestrator weitere Informationen Warum ePolicy Orchestrator F r McAfee Host Intrusion Prevention ist ePolicy Orchestrator erforderlich da seine Bereitstellung auf organisationsspezifischen Richtlinien und Regeln beruht die routinem ig angepasst werden wenn sich die Unternehmens oder Benutzer Community ndert Von McAfee Host Intrusion Prevention werden die Vorteile der bew hrten Infrastruktur von ePolicy Orchestrator genutzt durch die die Konsistenz der Richtlinienanwendung erh ht Fehler reduziert und die Sichtbarkeit und Kontrolle f r Administratoren verbessert werden McAfee Host Intrusion Prevention 8 0 Installationshandbuch 17 Bew hrte Vorgehensweisen f r einen einfachen Weg zum Erfolg 2 Vorbereiten einer Pilotumgebung Prozess bersicht Bearbeiten all
84. ung Host Intrusion Prevention sch tzt also den Host Server vor sch dlichen Angriffen bietet jedoch keinen Firewall Schutz Die g ltigen Richtlinien sind hier aufgelistet HIP 8 0 ALLGEMEIN Nur Administrator bzw Zeitbasiertes Kennwort zur Nutzung des Tools zur Fehlerbehebung Vertrauensw rdige Netzwerke Keine Vertrauensw rdige Anwendungen Alle au er F r Firewall als vertrauensw rdig markieren HIP 8 0 IPS IPS Optionen e Host IPS aktivieren e Adaptiven Modus aktivieren e Bestehende Client Regeln beibehalten IPS Regeln e Ausnahmeregeln e Signaturen nur standardm ige und benutzerdefinierte HIPS Regeln HINWEIS NIPS Signaturen und Anwendungsschutzregeln sind nicht verf gbar HINWEIS Der Client unterst tzt sowohl globale als auch lokale Zonen Die Installation erfolgt ausschlie lich in der globalen Zone Solaris Zonenunterst tzung Der Client unterst tzt sowohl den Schutz globaler als auch lokaler Zonen wird jedoch stets in der globalen Zone installiert Zur Beschr nkung des Schutzes auf bestimmte Zonen werden die Signaturen der IPS Regelrichtlinien bearbeitet Hierbei wird ein Zonenabschnitt hinzugef gt und der Name der Zone als Wert aufgenommen Wenn Sie beispielsweise ber eine Zone namens app_zone verf gen deren Stammverzeichnis Root zones app lautet gilt die Signaturregel nur f r die Datei in der Zone app_zone nicht in der globalen Zone Beachten Sie dass in dieser Version der Web Server
85. vermieden und Signaturen mit mittlerem Schweregrad protokolliert der Rest wird ignoriert Legen Sie auf Ihren anderen Systemen Servern und Hauptbenutzer Desktops die berwachung und Protokollierung f r mittlere und hohe Sicherheitsstufen fest Es gibt keine Standardeinstellung mit der mittlere und hohe Stufen protokolliert werden Daher m ssen Sie eine vorhandene Richtlinie duplizieren und anpassen Das reine berwachen von Ereignissen der mittleren und hohen Sicherheit bietet ein gutes Ma an relevanten Informationen ohne Sie mit Details zu berfluten Sie entdecken die Systemunterschiede bei denen Serverplattformen auf jede bestimmte Anwendungsinstanz abgestimmt sind oder f r die Entwickler ihre Lieblingstools und geheimen Compiler haben TIPP Die Aktivierung der berwachung und Protokollierung sollte sich nicht auf System oder Anwendungsvorg nge auswirken Es ist jedoch immer ratsam Systeme direkt nach der Bereitstellung von McAfee Host Intrusion Prevention zu berwachen selbst wenn dies nur in einem reinen Protokollierungsmodus geschieht Da das Produkt geringf gig mit nderungen und Betriebssystemen interagiert ist es immer m glich dass es sich auf die Leistung einiger Anwendungen auswirkt Planen der Erweiterung Da das Vertrauen w hrend der Pilotphase w chst k nnen Sie Signaturen von der Protokollierung zur aktiven Erzwingung nach Systemklasse Abstimmungsregeln und Verfeinerungsrichtlinien verschieben indem Sie le
86. wenden des adaptiven Modus 1 Wenden Sie den adaptiven Modus f r einen bestimmten Zeitraum an eine bis vier Wochen 2 Bewerten Sie die Client Regeln 3 Deaktivieren Sie unangemessene Regeln 4 Verschieben Sie legitime Client Regeln auf der Registerkarte IPS Client Regeln direkt in eine Richtlinie f r Anwendungen auf anderen Clients 5 Deaktivieren Sie den adaptiven Modus McAfee Host Intrusion Prevention 8 0 Installationshandbuch 25 Bew hrte Vorgehensweisen f r einen einfachen Weg zum Erfolg 6 Feinabstimmung 6 Heben Sie die Auswahl der Option Client Regeln speichern auf wenn sie ausgew hlt ist TIPP Denken Sie daran den adaptiven Modus zu deaktivieren damit keine Regeln ohne Ihr Wissen erstellt werden Empfohlene Vorgehensweisen e F hren Sie Clients mindestens eine Woche im adaptiven Modus aus um alle normalen Aktivit ten zu ermitteln W hlen Sie Zeitr ume aus in denen geplante Aktivit ten wie Sicherungen oder Skripterstellungen ausgef hrt werden e Verfolgen Sie Client Regeln in der ePO Konsole nach und pr fen Sie sie in der normalen gefilterten und aggregierten Ansicht e Verwenden Sie automatisch erstellte Client Regeln um neue ausf hrlichere Richtlinien zu erstellen oder f gen Sie vorhandenen Richtlinien neue Regeln hinzu und wenden Sie die aktualisierten Richtlinien dann auf andere Clients an e Wahlen Sie die Richtlinienoption Client Regeln speichern aus Wenn Sie sie nicht ausw hlen werden d
87. wendungsprofilen bereit Sie k nnen die Bereitstellung von Host IPS auf Tausenden von Computern auf einfache Weise verwalten da die meisten Computer ein paar Verwendungsprofilen zugeordnet werden k nnen Die Verwaltung einer gro en Bereitstellung reduziert sich auf die Verwaltung einiger weniger Richtlinienregeln Wiederholen Sie diesen Prozess f r Hauptbenutzer und Server wenn Sie nur standardisierte Desktops in den Pilot aufgenommen haben Beginnen Sie mit der Protokollierung und nutzen Sie die Vorteile des adaptiven Modus F gen Sie neue Verwendungsprofile und Benutzer Communitys hinzu Implementieren Sie Firewall Regeln Befolgen Sie den Pilotprozess aber lesen Sie Einzelheiten zu Regeln und dem Lernmodus im Produkthandbuch nach McAfee Host Intrusion Prevention 8 0 Installationshandbuch Installieren von ePolicy Orchestrator F r diese Version von Host Intrusion Prevention HIP m ssen Sie abh ngig vom erworbenen Schutzumfang und der ausgef hrten Version von ePolicy Orchestrator mindestens eine Erweiterung installieren Nachfolgende finden Sie die Liste der erforderlichen Erweiterungen Tabelle 3 Nur Firewall Funktion McAfee Dateiname Erforderliche Erweiterungen Funktionalit t ePO Version HOSTIPS_8000 zip Host Intrusion Prevention 8 0 0 Firewall Funktion help_epo_103x zip ePO Hilfe ePO Hilfe mit Host Intrusion Prevention 8 0 Informationen HOSTFW_8000_45 zip Host Intrusion Prevention 8 0 0 Firewall Funktion
88. wnloads so dass sie mit den Ver ffentlichungen vom Patch Dienstag zusammen erfolgen wenn Sie Microsoft Produkte verwenden Verwenden Sie den adaptiven Modus um Profile f r bestimmte Systeme zu erstellen und leiten Sie die resultierenden Client Regeln an den Server weiter wenn neue Anwendungen installiert werden M glicherweise verf gen Sie ber die Zeit und Ressourcen um sie unmittelbar abzustimmen Sie k nnen diese Client Regeln auf vorhandene oder neue Richtlinien bertragen und dann die Richtlinie auf andere Computer anwenden um die neue Software zu verwalten bernehmen Sie die IPS Tests in Ihre Anderungsmanagement und Software ver ffentlichungsprozesse Wenn Sie die Bereitstellung eines Patches Service Packs oder Produkts von Microsoft vorbereiten sollten Sie sie auf IPS Systemen testen und kontrollieren damit die ordnungsgem e Abstimmung vor der allgemeinen Ver ffentlichung vorgenommen werden kann Erweiterung Verwenden Sie in Abh ngigkeit Ihrer Organisation eine der folgenden Optionen zum Erweitern der Bereitstellung Gehen Sie bei der Ausbringung von nderungen langsam und bewusst vor damit Sie Ausf lle bei Benutzern minimieren und Anomalien schnell diagnostizieren k nnen Es ist besser langsam vorzugehen als Fehler zu machen oder hilfreiche Schutzoptionen auszulassen Gehen Sie f r die Erweiterung folgenderma en vor Stellen Sie denselben Schutz auf allen zus tzlichen Systemen mit den getesteten Ver
89. zu finden berpr fen ob der Windows Client ausgef hrt wird Auch wenn der Client ordnungsgem installiert ist k nnen w hrend des Betriebs Probleme auftreten Wenn der Client beispielsweise nicht in der ePO Konsole angezeigt wird berpr fen Sie ob er ausgef hrt wird ffnen Sie eine Eingabeaufforderung geben Sie tasklist svc ein und stellen Sie sicher dass die folgenden Dienste ausgef hrt werden e FireSvc exe e mfefire exe e mfevtp exe Ist dies nicht der Fall gehen Sie wie folgt vor 1 F hren Sie die unter C Programme McAfee Host Intrusion Prevention zu findende Datei McAfeeFire exe aus um die Client Konsole aufzurufen 2 Entsperren Sie die Konsole W hlen Sie die Optionsfolge Task Sperrung der Benutzeroberflache aufheben und geben Sie abcde12345 als standardm iges Kennwort ein 3 Legen Sie die Debugging Einstellungen fest W hlen Sie die Optionsfolge Hilfe Fehlerbehebung und aktivieren Sie die vollst ndige Debug Protokollierung f r Firewall und IPS 4 Vergewissern Sie sich dass sowohl das Eindringungsschutzsystem auf Host Ebene als auch die Funktion f r Netzwerk IPS deaktiviert sind 5 ffnen Sie eine Eingabeaufforderung und f hren Sie net start enterceptagent aus um den Client Dienst aufzurufen Wird der Dienst nach wie vor nicht aufgerufen sehen Sie in der Datei FireSvc log nach ob es Fehler oder Warnmeldungen gibt die m glicherweise Aufschluss dar ber geben warum dies der Fall
90. zustellen dass der Client ber die neuesten IPS Inhalte verf gt laden Sie das neueste Host Intrusion Prevention Inhaltsaktualisierungspaket herunter und checken es zur Ausbringung in das ePO Repository ein Einzelheiten zu diesen Vorg ngen finden Sie im Abschnitt Aktualisierungen zum Host IPS Schutz im McAfee Host Intrusion Prevention Produkthandbuch Entfernen des Linux Clients 52 Der Host Intrusion Prevention Client kann per Remote Vorgang entfernt werden F hren Sie hierzu ber den ePolicy Orchestrator Server oder direkt auf dem Client Computer einen Ausbringungs Task aus ber den ePO Server e F hren Sie einen Ausbringungs Task f r den Client aus und w hlen Sie als Aktion f r Host Intrusion Prevention die Option Entfernen aus Direkt auf dem Client Computer Vor dem manuellen Entfernen vom Client Computer m ssen Sie zun chst die IPS Richtlinien des Clients ber den ePO Server deaktivieren e Melden Sie sich als Root Benutzer beim Client Computer an und f hren Sie folgenden Befehl aus rpm e MFEhiplsm MFEhiplsm kernel MFEhiplsm apache McAfee Host Intrusion Prevention 8 0 Installationshandbuch Installieren des Linux Clients Fehlerbehebung bei Linux Installationsproblemen Fehlerbehebung bei Linux Installationsproblemen Wenn w hrend der Installation oder Deinstallation des Clients ein Problem aufgetreten ist gilt es mehrere Punkte zu pr fen So k nnen Sie beispielsweise sicherstellen dass alle erforderlic

Download Pdf Manuals

image

Related Search

Related Contents

IASIMP-QS033A-DE-P, Logix5000-Steuerungssysteme  Garmin Mouse for 5000 Series User's Manual  Séminaire régional du Programme OMS d` action pour les  Sony 3-283-375-11(2) Home Theater System User Manual  Bosch GOF 1300 CE Professional  Guía del usuario  AES uScope Manual  Jarden HDC100KD-01  Thecus User`s Manual  Protéger ses données personnelles sur Facebook  

Copyright © All rights reserved.
Failed to retrieve file