McAfee Host Intrusion Prevention

时间:2023-03-09 01:13:22
McAfee Host Intrusion Prevention

McAfee Host Intrusion Prevention是一款集防火墙功能和HIPS于一身的主动防御和防火墙软件,将其与 McAfee VirusScan Enterprise 8.5/8.7搭配组成完整而强大的安全防御系统。对于初级电脑用户来说,仅仅开启默认设置,就已经可以使电脑得到很好的保护,而对于中高级电脑用户来说,这两款软件所具备的强大定制功能,更可使得你在经过一段时间的学习和实践后,定制出堪称同类安全软件中最强的防御效果。

注意

1、Server版需安装有 ePO,Windows XP 用户请下载 Client 版。

   2、HIP 安装时界面一闪而过,不会出现“安装已完成”的提示,但实际上已安装成功。

   3、安装后,请进入安全模式,打上汉化补丁。

   4、HIP 安装后默认不显示任务栏图标,如需打开,请依次点击 开始 → 所有程序 → McAfee → Host Intrusion Prevention ,此时会打开 HIP 的设置窗口,点击“任务”解锁后,将 编辑 → 选项 中勾选“显示任务栏图标”。

5、安装hip前要首先暂停vse的访问保护,否则驱动的安装就会被拦截”。

安装须知

1、安装 HIP 7.0 之前,你的电脑上必须安装有 McAfee Common Management Agent 3.6 (McAfee VirusScan Enterprise 8.5/8.7自带),否则将不能安装。这意味着你必须先安装有 VSE 8.5/8.7 或自行单独安装 CMA 3.6,选择后者的用户请从官网下载 CMA 3.6 的相关文件。

2、如果你用的系统不是服务器操作系统,或你安装了 Windows Server 2003,但不想安装 ePO,请安装 Client 版,否则将无法安装。

3、建议安装英文版的 HIP 7.0,而不是繁体中文版。英 文版的 HIP 7.0 内容更全,而更重要的是,繁体中文版可能存在一些问题。在汉化 HIP 7.0 时,我发现繁体中文版 HIP 7.0 的语言包居然是针对测试版的 HIP 7.0 制作,更麻烦的是,在其记录 HIPS 引擎部分数据的 HipsEngines.txt 中,居然记录的是与正式版不同的 HipsEnginePreProcHash。如果仅仅是这个记录错了,那还好,只会导致繁体中文版的相关功能可能失效或出错;而如果这个记录没错,而是 繁体中文版中对应的文件版本比正式版低,那在打上我基于英文版 HIP 7.0 的汉化补丁则又会导致上述问题。总而言之,为了避免麻烦或可能的麻烦,强烈建议大家安装的是 HIP 7.0 英文版。

4、如果你之前安装了 MDF 或低版本的 HIP 或 繁体中文版的 HIP 7.0,请先行卸载并重启后安装,有时候 HIP 的升级安装可能会导致一些问题发生。

5,请点击 HIP 7.0 安装包中的“McAfeeHIP_ClientSetup.msi”文件进行安装,这样你才能看到安装界面,而如果你点击的是 “McAfeeHIP_ClientSetup.exe”,则将会是静默安装,丢下茫然不知所措的你在一边发呆,而实际上它已经悄悄安装上了。

6,在安装 HIP 7.0 英文版后,请重新启动,再进入安全模式,安装HIP 7.0 汉化补丁,或安装在界面上加上一些使用说明和建议的汉化+备注补丁,除非你喜欢对着英文界面。

7, 自从 MDF 8.0 以后所有版本的 MDF 和 HIP 几乎都有一个问题,就是在系统启动时如果开着 ADSL 或路由的时候,容易出现两个任务栏图标,解决方法请下载我编写的 MDF HIP 任务栏图标正常显示补丁,此外,我发现如果你运行一遍 CMA 的独立安装程序,也可以基本解决这个问题。

   8,如果你要卸载 HIP 7.0,请先打开 HIP 设置界面,依次点击帮助→疑难解答,接下来在弹出的窗口上,务必确保勾选了“在添加或删除列表中显示程序”,否则你将找不到卸载 HIP 7.0 的地方。此外,你还注意,你在卸载前,必须关闭 HIP 7.0 的主机 IPS 功能。主机 IPS 会保护 HIP 目录和设置,并确保 HIP 不会被卸载。

 二,使用须知
   1,在安装 HIP 7.0 后,任务栏图标默认是不显示的,这会给日常使用带来不便,要解决请依次点击开始菜单→所有程序→McAfee→Host Intrusion Prevention,这时会打开 HIP 的主界面,然后依次点击编辑→选项,在弹出的窗口中,勾选“显示任务栏图标”
   2,HIP 7.0 安装后,默认开启了主机 IPS 和网络 IPS,但没有开启防火墙策略,请自行开启。这也是由 HIP 设计初衷是方便大企业安全管理人员统一发布和管理的特点决定的,所以,请你在安装 HIP 7.0 后,却发现开启网络软件却没有弹出请求提示时,不要责怪 HIP 7.0 的设计不够人性化。
       3, 事实上,最影响大家决定是否安装、使用和卸载 HIP 7.0 最重要的原因是 HIP 默认有密码保护,在你打开设置窗口时,几乎所有的选项都是灰色、不可调的,你必须依次点击解锁(任务)→解锁用户窗口,在弹出的窗口上输入正确的密码后 (默认为“abcde12345”),方能进行设置。

  是的,这种方便大企业统一管理的设置对桌面用户来说,会带来不便。但这将会是多大的不便呢?但是,请问一下自己,日常应用时,你需要经常打开设置界面进行 修改吗?当然不会,事实上,平时大家需要接触 HIP 的时候通常都是有应用程序访问网络需请示你是否准许时,而这,是不需要解锁的。这也就是说,你仅仅在很少的时候才需要打开 HIP 设置界面。

   我想绝大多数使用 HIP 的用户,同时也是 VSE 的用户,请回想一下我们初次接触 VSE 时的体验,那时,你会感觉想要打开它的主界面,也是不便的,你无法像通常情况一下通过双击任务栏图标的方法来打开 VSE 设置界面,而是必须先在任务栏图标上点击右键,然后点击 VirusScan 控制台。我想在初次使用 VSE 的时候,大家也会因此觉得不便吧,而过了一段时间后呢,你将会养成一个习惯而浑然不知,就像你用 HIP 久了,也会养成解锁的习惯一样。

   3,关于 HIP 选项,除了上面提过的要勾选“显示任务栏图标”以外,你还需注意:如果你不想平时使用电脑时猛地听到可怕的警报声,请不要勾选“播放声音”;一般情况下, 你也无需勾选“显示 Pop-UP 警报”和“闪烁任务栏图标”,因为即便入侵发生了,也被 HIP 自动阻止了,不用你干预,而如果你又不用像企业安全管理人员那样必须第一时间知道的话,这两个选项是无需勾选的,你可以通过常看“活动日志”在时候浏览你 的 HIP 曾抵御过那些入侵行为。至于“创建嗅探器跟踪(如果可用)”一项,建议有兴趣的朋友勾选。
   4,关于 IPS 策略。我曾在上一篇文章中详细介绍过在 ePO 管理下 IPS 签名(行为规则)比 VSE 8.5 访问保护功能更强大、定制更方便,但如果你是 Windows XP 用户,或你安装了 Windows Server 2003 但不想安装 ePO,如何对待被限制了的 IPS 功能,将是你是否会继续选用 HIP 7.0 的一个关键因素。
  事实上,HIP 预设的主机 IPS 和网络 IPS 已经能够很好的保护你的电脑不受入侵了,即便用不了 ePO   对 HIP 行为规则(签名)强大的管理功能,也无需大惊小怪,因为 IPS 行为规则其实在大多数情况下与 VSE 的访问保护是相似的,大多数 IPS 行为规则可以用 VSE 的访问保护规则的方式设定。而且 VSE 下已经有很多朋友提供的现成规则,更方便。这样,你可以一方面开启 HIP 预设主机 IPS 和网络 IPS,另一方面配合使用 VSE 的访问保护功能,这样搭建的主机防御系统同样是完整的,且同样具有方便的定制性。

  5,关于防火墙策略,与 MDF 一脉相承的部分我就不多讲了,在这里要讲的还是一个必须在 ePO 中管理、在 HIP 中被限制了的部分设置。有些朋友就是因为在防火墙规则列表最顶端的“VPN”、“Ping 和 ICMP”等内置规则和规则组显示为灰色、不可调而弃用 HIP 的。这实在是又一个看问题不全面的结果,请问,这些内置的规则你用得着调整吗?而且,事实上,如果你要调整,也无需 ePO,你完全可以通过新建规则或规则组加以限制的方式来实现嘛。
   6,关于应用程序策略,这是一个很强大,但又被大多数人说很麻烦的功能。说它强大,是因为开启应用程序策略后,所有未在应用程序策略允许列表中的程序都将 无法运行,在有经验的用户手中,这可以杜绝病毒和木马的运行和发作,也可以禁止指定程序如游戏、日记等软件运行。说它麻烦,是因为在使用初期,没有心理准 备和应对策略的你将会被不断弹出的提示窗口而烦扰不堪,或是面对提示窗口不知道该如何选择。

  对此,我有两个建议:如果你是一个初级电脑用户,或你与其他人共用一台电脑的话,请不要启用应用程序规则;而如果你是一个对相关知识有一定了解的中高级用 户来说,建议你开启这一功能,它会给一切竟在掌握的感觉,至于弹出窗口是否烦人,老实说,这取决于你的行为策略和注意力指向,不喜欢,就关闭这一功能吧。 HIP 其他功能已经足够炫目了!

   必须注意的是,如果你无法通过 ePO 修改默认应用程序规则,请不要选择“启用应用程序挂钩监视器”(只开启“应用程序创建监视器”),默认的应用程序规则大部分都禁止了挂钩,其中就包括 “C:\Program Files\McAfee\Host Intrusion Prevention\* “,即 HIP 安装文件夹(包括子文件夹)下所有文件均禁止挂钩,而实际使用中这其中的一些程序,比如 HIP 7.0 安装文件夹下的 HIPSCore Service (HIPSvc.exe)在某些情况下将会不断有挂钩发生,而 HIP 则不断阻止这些挂钩的发生,这将导致系统忙,进而出现“死机”状态。建议有条件的通过 ePO 删除所有默认应用程序规则后再自行创建。

   7,关于被阻止的主机。当你开启网络 IPS 和自动阻止时,所有被 HIP 视为入侵的源都会自动被加入到阻止主机的列表中,你也可以在这里自行加入你想要屏障的 IP 或网站链接。比如,如果你要屏蔽卑鄙下流无耻、总爱时不时搞 DNS 劫持的电信 114 时,请依次点击添加→ DNS 搜索,依次输入你要屏蔽的网址:search.114.vnet.cn 和 114.vnet.cn,再点击搜索,然后点击“使用”,这样你就将该网址的 IP 地址)屏障了。这样你就再也碰不上点击打不开的网站时,却莫名其妙弹出电信 114 查询的情况了,让打不开的网站老老实实打不开吧。嗯,这个例子举得有点长。

   8,应用程序保护列表。这也是一个极好的功能,它的实现,必须要开启主机 IPS,并且,你要务必注意一点,HIP 主窗口上显示的应用程序保护列表实际上应该叫做“正在运行并受到 HIP 保护的进程列表”。真正的应用程序保护列表是你看不到的、内置的可以被 HIP 保护的应用程序列表,它包括了大多数系统组件和其他应用软件,只有当你启动这些组件或软件时,你才会在 HIP 主窗口中应用程序保护列表上发现它们的踪迹。所以,请务必不要误以为只有你在 HIP 界面上的应用程序保护列表中看到的进程才受到保护。

   比如,平时你在应用程序保护列表上看不到 OneNote 、Word、OutLook 等软件的踪迹,但你启用的时候,你就能在 HIP 应用程序保护列表中发现它们的踪迹。感谢 HIP,感谢 McAfee 让我平时工作时多了一份放心。说老实话,且不论 HIP 的其他优点,光是这一点,就注意说服日常生活和工作中离不开这些软件的我使用 HIP 了。杀毒功能固然重要,针对系统组件和常用软件的专用实时保护更能让我放心。

 9,关于活动日志,这就不多说了,默认勾选了“通信”,这样会产生大量的日志,建议取消它,这样你就可以一目了然看到“入侵”和“应用程序”等主要的活动日志。

  10,至于资源占用,请自行打开 Windows 任务管理器查看相关进程的内存占用和 CPU 占用,请不要以个人主观感觉来判断资源占用大小,以我看到过的情况,大多数人的这种感觉都是不可靠的,更多可能是电脑其他方面或相关设置你有问题。

   11,关于 HIP 启动缓慢的问题,这是事实,不过请问,你不安装 HIP 难道就能在进入桌面后第一时间就能进行操作了?事实上,所有的电脑,在进入桌面后,都需要 10 到 20 秒在后台引导相关组件和程序,此时进行操作,会导致启动缓慢等问题,因此,建议大家都养成在进入桌面后等待20来秒后再进行操作的良好习惯。

  综上所述,就我所发现的情况来说,人们弃用 HIP 的理由几乎都是那些事实上并不真正影响你、或者影响不像你想像的那样严重、又或者你完全可以关闭相关功能来解决的小麻烦,却因此放弃了强大的功能,这是一个尴尬而又耐人寻味的现象。

   在我看来, McAfee 的企业版系列安全软件都既是安全软件,但更是安全工具,它的强大与否,不但要看软件提供了什么功能,更要用户是否掌握了必要的知识和采取了适当的使用策 略,再强大的盾牌,也要使用者有足够的力量(知识)和使用技巧、策略才能抵挡最猛烈的攻击,否则,它将会沦落成一块厚重的废铁。

  上面说了这么多,但其实都是一些入门知识,如果你认真一一读过,并按照上述参考建议真正使用过 HIP 一段时间,我敢打赌,你一定会喜欢这款强大而又简单的超强主动防御和防火墙软件的。

被忽视的防护王者:McAfee Host Intrusion Prevention

位。 
  位。 
  位。 
  多个杀毒厂商的引擎扫描一下。

  应用程序策略在 HIP 的前身 MDF 上早已实现,不过很少有人开启,主要是人们怕频频提示的繁琐。其实,除了最初几天需要一一建立系统程序和常用软件的应用程序策略规则外,以后除你安装新软件时以外,是极难得弹出提示的。

  强烈推荐大家开启并使用 MDF 或 HIP 的应用程序策略。(特别提醒:如果你无法通过 ePO 修改 HIP 7.0 默认规则,请只开启“应 用程序创建监视器”,而不要开启“应用程序挂钩监视器”,这是因为 HIP 7.0 应用程序策略中的大部分默认策略,是禁止挂钩的,其中就包括“C:\Program Files\McAfee\Host Intrusion Prevention\* “,即 HIP 安装文件夹(包括子文件夹)下所有文件均禁止挂钩,而在实际应用时,HIP 7.0 安装文件夹下的 HIPSCore Service (HIPSvc.exe)在某些情况下将不断有挂钩要求发生,而 HIP 则不断阻止这些挂钩的发生,这会导致系统忙,进而出现“死机”状态。 

  四、VSE、MDF和HIP 是不是HIPS?

  HIPS,即 Host Intrusion Prevent System 的简称,意为:主机入侵防御系统。它是通过预设的行为规则来监控电脑中文件的运行、文件运行了其他的文件(挂接)以及文件对注册表的修改,并向你报告请求允许的的软件。其中,HIPS 所谓的 3D 防护概念指的是:AD(Application Defend)--应用程序防御体系、RD(Registry Defend)注册表防御体系、FD(File Defend)文件防御体系。

  因为不存在能查杀一切病毒的杀毒软件,通过行为规则来应对未知威胁的HIPS成为以后系统安全发展的必然趋势。

  看到不时有人问 VSE 是不是 HIPS,在这里我可以很肯定的说,VSE 的访问保护规则和MDF 的应用程序策略都是HIPS的功能之一,而同时拥有IPS 行为规则和应用软件策略的HIP 本身就具有完整的 3D HIPS功能。只是在界面和提示上不如一些面向个人桌面用户的独立 HIPS 软件做得友好,但具有更强的可定制性。

  五、遗憾和发展展望

  拥有比 VSE 访问保护规则更强大的 IPS 行为规则和应用程序策略的 HIP 堪称王者。然而,遗憾的是,要对 HIP 的 IPS 行为规则以及防火墙规则中的默认规则进行编辑和管理,必须在安装了 ePO 的 Windows 2000/2003 系统上进行。在Windows XP 中,你只能设定 IPS的例外。

  不过,这并不意味着 HIP 对普通用户来说是一个鸡肋,一方面,HIP 内置的 IPS 主机签章和网络 IPS 签章(Windows XP 下看不到具体内容)已经足以应对常见的可疑行为和入侵,你可以以此配合 VSE 的访问保护使用,辅以 HIP 的应用程序规则,就能够打造相当强大的杀毒软件+防火墙+入侵防御系统,而且很重要的一点是,这都是永久“免费”的,不必担心破解问题,且可定制性很强,玩通透了,就可达到传说中 McAfee 规则在手,安全我有的境地。:)

  另一方面,在 Windows XP 下HIP 的 IPS 签章和防火墙规则中的预置规则并非绝对不可编辑。我们知道,这些设定都是保存在注册表中的,所以可以在 Windows 2003 下用 ePO编写后,导出相关设置的注册表,然后回到 Windows XP 下导入即可。

  当然,对于原来就是在用 Windows 2003 的朋友来说就更简单了,安装一个 ePO 就能充分发挥 HIP 的强大功能了。

  此文抛砖引玉,讲了些 HIP 的皮毛和大概而已,希望引起大家对 HIP 的好奇心,一起来共同探讨和研究。不要这么多年一直就讨论早已被研究透彻的 VSE 访问保护规则了,HIP 实在是比它强大得多。