mcafeehips设置

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

McAfee(HIP7) Host Intrusion Prevention 7.0安装须知和初步使用
时间:2009-04-02 08:13来源:卡饭论坛作者:iuanog 点击:次
McAfee Host Intrusion Prevention 7.0 (HIP7)正如McAfee 其他的企业版软件一样,同样有功能强大但上手不易的特点,设计初衷定位于大企业安全管理人员统一发布和管理的HIP 7.0 尤为如此。

如果你在安装前对 HIP 一无所知的话,那接下来的安装和使用将会带给你一连串的迷
McAfee Host Intrusion Prevention 7.0 (HIP7)正如McAfee 其他的企业版软件一样,同样有功能强大但上手不易的特点,设计初衷定位于大企业安全管理人员统一发布和管理的HIP 7.0尤为如此。

如果你在安装前对 HIP 一无所知的话,那接下来的安装和使用将会带给你一连串的迷惘。

为方便初学者快速学习和使用 HIP 7.0,我在此简略介绍一下安装和使用 HIP 7.0 必须知道的一些基本情况。

一、安装须知
1、安装 HIP 7.0 之前,你的电脑上必须安装有 McAfee Common Management Agent 3.6 (McAfee VirusScan Enterprise 8.5 自带),否则将不能安装。

这意味着你必须先安装有 VSE 8.5 或自行单独安装 CMA 3.6,选择后者的用户请从官网下载 CMA 3.6 的相关文件。

之前一些网友在论坛上说安装不了HIP 7.0,提示说要 ePO,这或许是你试图在Windows XP 上安装 Server 版 HIP,而更有可能的是你看到的提示其实不是说要“ePO”,而是说要“ePO Agent”,即 CMA 的另一种说法,它还有很多种叫法。

2、如果你用的系统不是服务器操作系统,或你安装了 Windows Server 2003,但不想安装 ePO,请安装 Client 版,否则将无法安装。

3、请安装英文版的 HIP 7.0,而不是繁体中文版,英文版的 HIP 7.0 内容更全,而更重要的是,繁体中文版可能存在一些问题。

在汉化 HIP 7.0 时,我发现繁体中文版 HIP 7.0 的语言包居然是针对测试版的 HIP 7.0 制作,更麻烦的是,在其记录 HIPS 引擎部分数据的 HipsEngines.txt 中,居然记录的是与正式版不同的 HipsEnginePreProcHash。

如果仅仅是这个记录错了,那还好,只会导致繁体中文版的相关功能可能失效或出错;而如果这个记录没错,而是繁体中文版中对应的文件版本比正式版低,那在打上我基于英文版 HIP 7.0 的汉化补丁则又会导致上述问题。

总而言之,为了避免麻烦或可能的麻烦,强烈建议大家安装的是 HIP 7.0 英文版。

4、如果你之前安装了 MDF 或低版本的 HIP 或繁体中文版的 HIP 7.0,请先行卸载并重启后安装,有时候 HIP 的升级安装可能会导致一些问题发生。

5、请点击 HIP 7.0 安装包中的“McAfeeHIP_ClientSetup.msi”文件进行安装,这样你才能看到安装界面,而如果你点击的是“McAfeeHIP_ClientSetup.exe”,则将会是静默安装,丢下茫然不知所措的你在一边发呆,而实际上它已经悄悄安装上了。

6、在安装 HIP 7.0 英文版后,请重新启动,再进入安全模式,安装我制作的HIP
7.0 汉化补丁,或安装在界面上加上一些使用说明和建议的汉化+备注补丁,除非你喜欢对着英文界面。

7、自从 MDF 8.0 以后所有版本的 MDF 和 HIP 几乎都有一个问题,就是在系统启动时如果开着 ADSL 或路由的时候,容易出现两个任务栏图标,解决方法请下载我编写的 MDF HIP 任务栏图标正常显示补丁,此外,我发现如果你运行一遍CMA 的独立安装程序,也可以基本解决这个问题。

8、如果你要卸载 HIP 7.0,请先打开 HIP 设置界面,依次点击帮助→疑难解答,接下来在弹出的窗口上,务必确保勾选了“在添加或删除列表中显示程序”,否则你将找不到卸载 HIP 7.0 的地方。

此外,你还注意,你在卸载前,必须关闭 HIP 7.0 的主机 IPS 功能。

主机 IPS 会保护 HIP 目录和设置,并确保 HIP 不会被卸载。

二、使用须知
1、在安装 HIP 7.0 后,任务栏图标默认是不显示的,这会给日常使用带来不便,要解决请依次点击开始菜单→所有程序→McAfee→Host Intrusion Prevention,这时会打开 HIP 的主界面,然后依次点击编辑→选项,在弹出的窗口中,勾选“显示任务栏图标”。

2、HIP 7.0 安装后,默认开启了主机 IPS 和网络 IPS,但没有开启防火墙策略,请自行开启。

这也是由 HIP 设计初衷是方便大企业安全管理人员统一发布和管理的特点决定的,所以,请你在安装 HIP 7.0 后,却发现开启网络软件却没有弹出请求提示时,不要责怪 HIP 7.0 的设计不够人性化。

是的,这种方便大企业统一管理的设置对桌面用户来说,会带来不便。

但这将会是多大的不便呢?但是,请问一下自己,日常应用时,你需要经常打开设置界面进行修改吗?当然不会,事实上,平时大家需要接触 HIP 的时候通常都是有应用程序访问网络需请示你是否准许时,而这,是不需要解锁的。

这也就是说,你仅仅在很少的时候才需要打开 HIP 设置界面。

我想绝大多数使用 HIP 的用户,同时也是 VSE 的用户,请回想一下我们初次接触 VSE 时的体验,那时,你会感觉想要打开它的主界面,也是不便的,你无法像通常情况一下通过双击任务栏图标的方法来打开 VSE 设置界面,而是必须先在任务栏图标上点击右键,然后点击 VirusScan 控制台。

我想在初次使用 VSE 的时候,大家也会因此觉得不便吧,而过了一段时间后呢,你将会养成一个习惯而浑然不知,就像你用 HIP 久了,也会养成解锁的习惯一样。

3、关于 HIP 选项,除了上面提过的要勾选“显示任务栏图标”以外,你还需注意:如果你不想平时使用电脑时猛地听到可怕的警报声,请不要勾选“播放声音”;一般情况下,你也无需勾选“显示 Pop-UP 警报”和“闪烁任务栏图标”,因为即便入侵发生了,也被 HIP 自动阻止了,不用你干预,而如果你又不用像企业安全管理人员那样必须第一时间知道的话,这两个选项是无需勾选的,你可以通过常看“活动日志”在时候浏览你的 HIP 曾抵御过那些入侵行为。

至于“创建嗅探器跟踪(如果可用)”一项,建议有兴趣的朋友勾选。

4、关于 IPS 策略。

我曾在上一篇文章中详细介绍过在 ePO 管理下 IPS 签名(行为规则)比 VSE 8.5 访问保护功能更强大、定制更方便,但如果你是 Windows XP 用户,或你安装了 Windows Server 2003 但不想安装 ePO,如何对待被限制了的 IPS 功能,将是你是否会继续选用 HIP 7.0 的一个关键因素。

事实上,HIP 预设的主机 IPS 和网络 IPS 已经能够很好的保护你的电脑不受入侵了,即便用不了 ePO 对 HIP 行为规则(签名)强大的管理功能,也无需大惊小怪,因为 IPS 行为规则其实在大多数情况下与 VSE 的访问保护是相似的,大多数 IPS 行为规则可以用 VSE 的访问保护规则的方式设定。

而且 VSE 下已经有很多朋友提供的现成规则,更方便。

这样,你可以一方面开启 HIP 预设主机 IPS 和网络 IPS,另一方面配合使用 VSE 的访问保护功能,这样搭建的主机防御系统同样是完整的,且同样具有方便的定制性。

5、关于防火墙策略,与 MDF 一脉相承的部分我就不多讲了,在这里要讲的还是一个必须在 ePO 中管理、在 HIP 中被限制了的部分设置。

有些朋友就是因为在防火墙规则列表最顶端的“VPN”、“Ping 和ICMP”等内置规则和规则组显示为灰色、不可调而弃用 HIP 的。

这实在是又一个看问题不全面的结果,请问,这些内置的规则你用得着调整吗?而且,事实上,如果你要调整,也无需 ePO,你完全可以通过新建规则或规则组加以限制的方式来实现。

6、关于应用程序策略,这是一个很强大,但又被大多数人说很麻烦的功能。

说它强大,是因为开启应用程序策略后,所有未在应用程序策略允许列表中的程序都将无法运行,在有经验的用户手中,这可以杜绝病毒和木马的运行和发作,也可以禁止指定程序如游戏、日记等软件运行。

说它麻烦,是因为在使用初期,没有心理准备和应对策略的你将会被不断弹出的提示窗口而烦扰不堪,或是面对提示窗口不知道该如何选择。

对此,我有两个建议:如果你是一个初级电脑用户,或你与其他人共用一台电脑的话,请不要启用应用程序规则;而如果你是一个对相关知识有一定了解的中高级用户来说,建议你开启这一功能,它会给一切竟在掌握的感觉,至于弹出窗口是否烦人,老实说,这取决于你的行为策略和注意力指向,不喜欢,就关闭这一功能吧。

HIP 其他功能已经足够炫目了!
必须注意的是,如果你无法通过 ePO 修改默认应用程序规则,请不要选择“启用应用程序挂钩监视器”(只开启“应用程序创建监视器”),默认的应用程序规则大部分都禁止了挂钩,其中就包括“C:\Program Files\McAfee\Host Intrusion Prevention\* “,即 HIP 安装文件夹(包括子文件夹)下所有文件均禁止挂钩,而实际使用中这其中的一些程序,比如 HIP 7.0 安装文件夹下的
HIPSCore Service (HIPSvc.exe)在某些情况下将会不断有挂钩发生,而 HIP 则不断阻止这些挂钩的发生,这将导致系统忙,进而出现“死机”状态。

建议有条件的通过 ePO 删除所有默认应用程序规则后再自行创建。

7、关于被阻止的主机。

当你开启网络 IPS 和自动阻止时,所有被 HIP 视为入侵的源都会自动被加入到阻止主机的列表中,你也可以在这里自行加入你想要屏障的 IP 或网站链接。

比如,如果你要屏蔽卑鄙下流无耻、总爱时不时搞 DNS 劫持的电信 114 时,请依次点击添加→ DNS 搜索,依次输入你要屏蔽的网址: 和 ,再点击搜索,然后点击“使用”,这样你就将该网址的 IP 地址)屏障了。

这样你就再也碰不上点击打不开的网站时,却莫名其妙弹出电信 114 查询的情况了,让打不开的网站老老实实打不开吧。

嗯,这个例子举得有点长。

8、应用程序保护列表。

这也是一个极好的功能,它的实现,必须要开启主机 IPS,并且,你要务必注意一点,HIP 主窗口上显示的应用程序保护列表实际上应该叫做“正在运行并受到 HIP 保护的进程列表”。

真正的应用程序保护列表是你看不到的、内置的可以被 HIP 保护的应用程序列表,它包括了大多数系统组件和其他应用软件,只有当你启动这些组件或软件时,你才会在 HIP 主窗口中应用
程序保护列表上发现它们的踪迹。

所以,请务必不要误以为只有你在 HIP 窗口上的应用程序保护列表中看到的进程才受到保护。

比如,平时你在应用程序保护列表上看不到 OneNote 、Word、OutLook 等软件的踪迹,但你启用的时候,你就能在 HIP 应用程序保护列表中发现它们的踪迹。

感谢 HIP,感谢 McAfee 让我平时工作时多了一份放心。

说老实话,且不论 HIP 的其他优点,光是这一点,就注意说服日常生活和工作中离不开这些软件的我使用 HIP 了。

杀毒功能固然重要,针对系统组件和常用软件的专用实时保护更能让我放心。

9、关于活动日志,这就不多说了,默认勾选了“通信”,这样会产生大量的日志,建议取消它,这样你就可以一目了然看到“入侵”和“应用程序”等主要的活动日志。

10、至于资源占用,请自行打开 Windows 任务管理器查看相关进程的内存占用和 CPU 占用,请不要以个人主观感觉来判断资源占用大小,以我看到过的情况,大多数人的这种感觉都是不可靠的,更多可能是电脑其他方面或相关设置你有问题。

11、关于 HIP 启动缓慢的问题,这是事实,不过请问,你不安装 HIP 难道就能在进入桌面后第一时间就能进行操作了?事实上,所有的电脑,在进入桌面后,都需要 10 到 20 秒在后台引导相关组件和程序,此时进行操作,会导致启动缓慢等问题,因此,建议大家都养成在进入桌面后等待20来秒后再进行操作的良好习惯。

综上所述,就我所发现的情况来说,人们弃用 HIP 的理由几乎都是那些事实上并不真正影响你、或者影响不像你想像的那样严重、又或者你完全可以关闭相关功能来解决的小麻烦,却因此放弃了强大的功能,这是一个尴尬而又耐人寻味的现象。

在我看来, McAfee 的企业版系列安全软件都既是安全软件,但更是安全工具,它的强大与否,不但要看软件提供了什么功能,更要用户是否掌握了必要的知识
和采取了适当的使用策略,再强大的盾牌,也要使用者有足够的力量(知识)和使用技巧、策略才能抵挡最猛烈的攻击,否则,它将会沦落成一块厚重的废铁。

来源:卡饭论坛转载请注明出处及作者。

相关文档
最新文档