Notes de distribution de Host Intrusion Prevention 8.0

A propos de ce document

Merci d'avoir choisi notre produit McAfee. Ce document contient des informations importantes au sujet de la version actuelle. Il est vivement recommandé de le lire dans son intégralité.

ATTENTION : nous ne prenons pas en charge la mise à niveau automatique d'une version préalable du logiciel. Vous devez désinstaller la présente version du logiciel avant de procéder à la mise à niveau vers une version de production.

Nouvelles fonctionnalités

Vous trouverez ci-dessous une liste des fonctionnalités nouvelles ou mises à jour incluses dans cette version du produit.

Nouveautés

IPS
  • Nouvelles fonctionnalités pour la stratégie Options IPS :
    • Protection au démarrage : protection au démarrage avant le lancement des services IPS
  • Nouvelles fonctionnalités pour la stratégie Règles IPS :
    • Exceptions basées sur une adresse IP pour les signatures IPS réseau
    • Réseaux approuvés pour les signatures IPS et les règles de pare-feu
    • Mise en correspondance des exécutables des applications effectuée désormais par chemin d'accès, hachage, signature numérique ou description de fichiers, pour les signatures et les exceptions, et non plus uniquement par chemin d'accès
Pare-feu
  • Nouvelles fonctionnalités pour la stratégie Options de pare-feu :
    • Evaluation et blocage TrustedSource : les règles de pare-feu bloquent ou autorisent le trafic entrant et sortant d'après les évaluations de McAfee TrustedSource.
    • Protection contre l'usurpation d'adresse IP : les règles de pare-feu bloquent le trafic sortant lorsque l'adresse IP locale n'est pas une des adresses IP du système local et lorsqu'une adresse locale MAC n'est pas une adresse MAC invitée de machine virtuelle.
    • Prise en charge des machines virtuelles reliées par un pont : les règles de pare-feu autorisent le trafic avec une adresse MAC locale qui n'est pas l'adresse MAC du système local mais une des adresses MAC de la gamme de logiciels de machine virtuelle prise en charge.
    • Protection au démarrage : les règles de pare-feu bloquent tout trafic entrant avant que les services du pare-feu ne démarrent.
  • Nouvelles fonctionnalités pour la stratégie de règles du pare-feu :
    • Les règles du pare-feu sont bien plus flexibles : une règle unique peut désormais contenir plusieurs applications (contre une seule précédemment), plusieurs réseaux (contre un seul précédemment), un réseau local et un réseau distant (contre un réseau distant uniquement précédemment) et un type de support réseau privé virtuel (VPN) en plus des supports filaire et sans fil.
    • Les groupes selon la connexion sont désormais de simples groupes de pare-feu contenant des informations sur les emplacements et des calendriers associés à des accès limités en temps.
    • La mise en correspondance des exécutables des applications s'effectue désormais par chemin d'accès, hachage, signature numérique ou description de fichiers, pour les règles de pare-feu, et non plus uniquement par chemin d'accès et hachage.
  • Stratégie de pare-feu supplémentaire : blocage DNS du pare-feu composé d'un ensemble de modèles de noms de domaines à bloquer. Cette stratégie remplace la règle de domaine qui bloquait la résolution DNS pour les noms de domaines définis par les utilisateurs.
Général
  • Les stratégies de blocage d'applications sont supprimées et leur fonctionnalité est remplacée par deux signatures de contenu dans la stratégie de règles Host IPS.
  • Les stratégies de quarantaine de pare-feu sont supprimées.
  • Un nouveau catalogue Host IPS permet d'organiser et de réutiliser les composants de stratégie courants, notamment les groupes de pare-feu, les règles, les emplacements, les exécutables et les réseaux.
  • Un ensemble standard unique de caractères génériques est utilisé avec le produit.
  • Les journaux sont placés dans un dossier commun et certains sont simplifiés pour faciliter leur lecture.
Plates-formes prises en charge
  • Parité complète des fonctionnalités sur les plates-formes Windows 32 et 64 bits (excepté pour Windows XP)
  • Ajouté : prise en charge de Windows 7 ; SUSE Linux 10 SP3, SUSe Linux 11 et des zones Solaris
  • Supprimé : Windows 2000, Solaris 8 et SUSE Linux 9
Prise en charge SQL
  • Ajouté : SQL 2005, SQL 2008
  • Supprimé : SQL 2000
Extension/fonctionnalité client
  • Deux versions de Host Intrusion Prevention 8.0 : une version avec pare-feu uniquement et une version complète contenant la protection IPS et la protection par pare-feu.
  • Compatibilité de l'extension Host IPS avec les versions 4.0, 4.5 et 4.6 d'ePolicy Orchestrator.
  • Possibilité d'installer l'extension Host IPS 8.0 dans ePolicy Orchestrator même avec des versions antérieures de Host IPS.
  • L'extension Host IPS 8.0 gère uniquement les clients Host IPS 8.0 et ne peut pas prendre en charge les versions précédentes du client.
  • Les protections IPS et de pare-feu sont désactivées sur le client après l'installation initiale et nécessitent l'application d'une stratégie pour être activées.
  • Sur toutes les plates-formes, il est possible de migrer de la version d'évaluation vers la version sous licence à partir d'ePolicy Orchestrator, sans réinstaller le client.

Problèmes connus

La liste ci-dessous répertorie les problèmes connus au moment de la production du logiciel.

Pour afficher la liste à jour des problèmes associés à cette version, reportez-vous à l'article 69184 de la base de connaissances (KnowledgeBase) à l'adresse http://knowledge.mcafee.com.

Extension Host Intrusion Prevention

  1. Problème : si l'option Inclure un sous-réseau local automatiquement est sélectionnée dans une stratégie de réseaux approuvés affectée et si un événement HTTP ou IPS réseau est déclenché à partir d'un système distant sur le sous-réseau local, l'adresse IP distante est signalée comme approuvée dans les détails de l'événement IPS uniquement si l'adresse IP distante est explicitement incluse dans la stratégie de réseaux approuvés. (521370)
  2. Problème : la correspondance à l'emplacement dans un groupe de règles de pare-feu peut prendre jusqu'à 20 secondes lorsqu'une nouvelle valeur de registre contenant des données est créée pour le groupe. (549386)
  3. Problème : la stratégie Blocage DNS du pare-feu ne prend actuellement pas en charge la correspondance des noms de domaine localisés. (577764)
  4. Problème : pour les signatures personnalisées, les exceptions et les applications approuvées, le code des chemins d'application pour le processus à distance et le processus système doivent contenir des accolades :
    • Remote Process match--path <SystemRemoteClient> Executable { Include { -path <SystemRemoteClient> }}
    • System Process match--path <System>

    Par exemple, Executable { Include { -path <SystemRemoteClient>}}

    (566890)
  5. Problème : lorsque le pare-feu est en mode adaptatif, le trafic ICMP est bloqué et aucune règle d'autorisation n'est créée.

    Solution : appliquez la stratégie de règles Exemple de pare-feu d'entreprise standard, car elle contient déjà des règles ICMP. (489628)

  6. Problème : si vous avez défini des applications, des options de transport ou des réseaux distants pour un groupe de pare-feu, puis que vous activez l'option d'isolement de la connexion, toutes ces données sont supprimées du groupe de manière permanente. La désactivation de l'isolement de la connexion ne permet pas de restaurer les applications, les options de transport ou les réseaux distants du groupe de pare-feu. (617832)
  7. Problème : vous ne pouvez pas faire glisser des règles de pare-feu vers un nouveau groupe de pare-feu vide.

    Solution : déplacez une règle de pare-feu vers le haut ou vers le bas dans la liste pour la placer dans un nouveau groupe de pare-feu vide. Dès lors que le groupe contient une règle, vous pouvez glisser les règles dans le groupe. (575087)

  8. Problème : un nouveau groupe de pare-feu sans règles peut être ajouté dans le catalogue Host IPS, mais il ne peut pas être modifié si aucune règle de pare-feu n'y a été ajoutée.

    Solution : vérifiez que chaque groupe de pare-feu ajouté au catalogue Host IPS contient au minimum une règle de pare-feu. (625030)

  9. Problème : si les extensions Host IPS sont supprimées et qu'ensuite les mêmes versions ou des versions ultérieures sont installées, vous devez redémarrer le service McAfee ePolicy Orchestrator Event Parser. Tant que ce service n'est pas redémarré, les événements peuvent être perdus ou affichés de manière incorrecte. (626040).
  10. Problème : si vous téléchargez l'extension Host Intrusion Prevention 8.0 depuis le Gestionnaire de logiciels ePolicy Orchestrator 4.6, il peut être nécessaire d'installer plusieurs extensions. En cas de doute, consultez le guide d'installation de Host Intrusion Prevention 8.0 pour vérifier que vous avez installé toutes les extensions requises. (625745)
  11. Problème : les zones déroulantes de certaines règles de pare-feu ayant été migrées vers Host Intrusion Prevention 8.0 peuvent ne pas défiler correctement si elles contiennent de grandes quantités de données. (623329)
  12. Problème : si un nouveau groupe de pare-feu est lié au catalogue Host IPS et que la liaison est rompue, les règles de pare-feu du groupe restent liées au catalogue.

    Solution : enregistrez la stratégie contenant le groupe de pare-feu, puis rouvrez la stratégie. Cela va interrompre la liaison des règles au catalogue. (624622)

Client Host Intrusion Prevention

  1. Problème : sous les clients Windows, l'option de réparation n'est pas disponible pour Host Intrusion Prevention au niveau du panneau de configuration Ajout/Suppression de programmes.

    Solution : pour les réparations de ces systèmes d'exploitation, exécutez l'une des commandes suivantes :

    • Pour la version 32 bits : msiexec.exe /fvomus {6B005DF6-6B6E-4551-B632-B0001DF50499} /l*v %windir%\Temp\McAfeeLogs\hip8.0_repair.log
    • Pour la version 64 bits : msiexec.exe /fvomus {D2B9C003-A3CD-44A0-9DE5-52FE986C03E5} /l*v %windir%\Temp\McAfeeLogs\hip8.0_repair.log (573713)
  2. Problème : le client Host Intrusion Prevention échoue parfois au redémarrage après une mise à jour.

    Solution : si le message Failed to initialize Scrutinizer est inscrit dans le journal HIPShield ainsi que dans le journal des événements Windows et si un événement système Failure stage: initialization - Agent Terminated est généré, redémarrez le système client.

  3. Problème : l'installation sous Windows XP considère parfois les pilotes Host Intrusion Prevention comme non signés. Consultez la description et la résolution de ce problème au niveau de l'article 822798 de la base de connaissances de Microsoft. Vous pouvez également cliquer sur Continuer dans les boîtes de dialogue qui suivent pour permettre au logiciel de s'installer correctement. (593237)
  4. Problème : le service HTTP redémarre s'il est en cours d'exécution pendant l'installation d'un client Host IPS. (361247)
  5. Problème : les messages d'alerte IPS et les exceptions de client répertorient les fichiers exécutables cibles sans mentionner le fichier exécutable standard utilisé pour ouvrir le fichier exécutable cible. L'exception inclut l'association de deux fichiers exécutables, mais des détails s'affichent au niveau de l'onglet des détails de l'exception, situé sur le serveur ePo, au niveau de l'onglet Host IPS sous Rapports. (590152)
  6. Problème : le moteur SQL Host IPS ne signale pas les adresses IP distantes. (591986)
  7. Problème : une règle dynamique d'adresse IP usurpée créée pour bloquer le trafic associé à une application se trouve supprimée si l'option Conserver les règles de client existantes n'est pas sélectionnée dans la stratégie Options de pare-feu.

    Solution : sélectionnez l'option Conserver les règles de client existantes au niveau de la stratégie Options de pare-feu. (590775)

  8. Problème : après avoir correctement installé le client Host Intrusion Prevention avec un outil tiers, le client ne parvient pas à démarrer.

    Solution : vérifiez que le fichier Microsoft Visual C++ 2005 Redistributable, requis par le client Host Intrusion Prevention, est installé sur le système cible. Ce fichier est installé automatiquement au moment du déploiement du client par le biais d'ePolicy Orchestrator ou installé en local à l'aide du fichier ClientSetup.exe.

  9. Problème : les détails des signatures Host IPS obtenus avec l'outil ClientControl ne contiennent pas la description, la sévérité, le statut et les détails de journalisation présents dans les signatures IPS réseau. (610735)
  10. Problème : l'adresse IP distante pour une exception IPS de réseau n'est reconnue que lorsqu'il s'agit d'une adresse IP unique ou d'une plage d'adresses IP. Lorsque cette adresse IP est spécifiée dans la notation de sous-réseau CIDR (par exemple 172.16.43.0/24), elle n'est pas reconnue.

    Solution : évitez d'utiliser une notation de sous-réseau CIDR pour l'adresse IP de ces exceptions. (620740)

  11. Problème : aucune protection HTTP n'existe pour les serveurs web exécutés dans une zone locale Solaris. La protection est uniquement disponible lorsque le serveur web est exécuté dans la zone globale. (563779)
  12. Problème : lors de la mise à niveau de Host IPS Linux Client 7.1.0 vers Host IPS Linux Client 8.0.0, vous devez redémarrer le système Linux après l'installation du nouveau client. (590169)
  13. Problème : l'installation du client de réseau privé virtuel Citrix SSL sur un système où le client Host Intrusion Prevention 8.0 est installé peut entraîner l'échec du système.

    Solution : dans ce cas, redémarrez le système. (626750)

  14. Problème : l'installation de Host Intrusion Prevention 8.0 sur un système exécutant un client de réseau privé virtuel NetMotion désactive le client de réseau privé virtuel.

    Solution : redémarrez le système pour redémarrer le client de réseau privé virtuel. (625391)

  15. Problème : les champs du nom de l'application et des noms de fichiers exécutables peuvent apparaître vides dans les stratégies Règles de pare-feu migrées depuis la version 6.1 vers la version 7.0. (488049)
  16. Problème : le guide d'installation de Host Intrusion Prevention 8.0 répertorie Nortel Contivity VPN Client 10.x et Microsoft Forefront UAG 2010 en tant que clients de réseau privé virtuel pris en charge. Les clients n'ont pas été testés avec le client Host Intrusion Prevention 8.0 et doivent être supprimés de la liste des réseaux privés virtuels pris en charge pour cette distribution. (626967)
  17. Problème : si VMware est exécuté avec la protection IPS activée et que la protection IPS est ensuite désactivée, la protection IPS ne peut pas être réactivée au cours de la session VWware. Pour réactiver la protection, arrêtez la session VWware, puis redémarrez-la en activant la protection IPS. (594086)

Recherche de la documentation du produit

McAfee fournit les informations nécessaires à chaque phase de la mise en œuvre du produit, de l'installation à l'utilisation et au dépannage. Après publication d'un produit, des informations le concernant sont entrées dans la base de connaissances (KnowledgeBase) en ligne McAfee.

  1. Accédez au support technique McAfee ServicePortal à l'adresse http://mysupport.mcafee.com.
  2. Sous Self Service (Libre service), accédez au type d'informations dont vous avez besoin :
    Documentation utilisateur Base de connaissances
    1. Cliquez sur Product Documentation (Documentation produit).
    2. Sélectionnez un Produit, puis sélectionnez une Version.
    3. Sélectionnez un document.
    • Cliquez sur Search the KnowledgeBase (Rechercher la Base de connaissances) pour répondre aux questions que vous vous posez sur le logiciel.
    • Cliquez sur Browse the KnowledgeBase (Parcourir la Base de connaissances) pour obtenir une liste des articles par produit et version.
COPYRIGHT

COPYRIGHT

Copyright © 2010 McAfee, Inc. Tous droits réservés.

Aucune partie de cette publication ne peut être reproduite, transmise, transcrite, stockée dans un système d'archivage ou traduite dans toute autre langue, sous quelque forme ou par quelque moyen que ce soit sans l'autorisation écrite de McAfee, Inc., de ses fournisseurs ou de ses sociétés affiliées.

DROITS DE MARQUES

DROITS DE MARQUES

AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN et WEBSHIELD sont des marques commerciales déposées ou des marques commerciales de McAfee, Inc. et/ou de ses sociétés affiliées aux Etats-Unis et/ou dans d'autres pays. La couleur rouge McAfee utilisée pour identifier des fonctionnalités liées à la sécurité est propre aux produits de la marque McAfee. Toutes les autres marques commerciales déposées ou non déposées citées dans ce document sont la propriété exclusive de leurs détenteurs respectifs.

INFORMATIONS DE LICENCE

INFORMATIONS DE LICENCE

Accord de licence

À L'ATTENTION DE TOUS LES UTILISATEURS : VEUILLEZ LIRE ATTENTIVEMENT L'ACCORD LÉGAL APPROPRIÉ CORRESPONDANT À LA LICENCE QUE VOUS AVEZ ACHETÉE, QUI DÉFINIT LES CONDITIONS GÉNÉRALES D'UTILISATION DU LOGICIEL SOUS LICENCE. SI VOUS NE CONNAISSEZ PAS LE TYPE DE LICENCE QUE VOUS AVEZ ACQUIS, CONSULTEZ LES DOCUMENTS DE VENTE, D'ATTRIBUTION DE LICENCE OU LE BON DE COMMANDE QUI ACCOMPAGNENT LE LOGICIEL OU QUE VOUS AVEZ REÇUS SÉPARÉMENT LORS DE L'ACHAT (SOUS LA FORME D'UN LIVRET, D'UN FICHIER SUR LE CD-ROM DU PRODUIT OU D'UN FICHIER DISPONIBLE SUR LE SITE WEB À PARTIR DUQUEL VOUS AVEZ TÉLÉCHARGÉ LE PACKAGE LOGICIEL). SI VOUS N'ACCEPTEZ PAS TOUTES LES DISPOSITIONS DE CET ACCORD, NE PROCÉDEZ PAS À L'INSTALLATION DU LOGICIEL. LE CAS ÉCHÉANT, VOUS POUVEZ RETOURNER LE PRODUIT À MCAFEE OU À VOTRE REVENDEUR AFIN D'EN OBTENIR LE REMBOURSEMENT INTÉGRAL.