Versionsinformationen zu Host Intrusion Prevention 8.0

Über dieses Dokument

Vielen Dank, dass Sie sich für dieses McAfee-Produkt entschieden haben. Dieses Dokument enthält wichtige Informationen zur aktuellen Version. Es wird dringend empfohlen, das Dokument vollständig zu lesen.

VORSICHT: Es werden keine automatischen Upgrades einer Vorveröffentlichungsversion der Software unterstützt. Bevor Sie auf eine Produktionsversion der Software aktualisieren, muss die vorhandene Softwareversion deinstalliert werden.

Neue Funktionen

Im Folgenden finden Sie eine Liste mit neuen und aktualisierten Funktionen in dieser Produktversion.

Neuigkeiten

IPS
  • Neue Funktionen für die Richtlinie zu den IPS-Optionen:
    • Schutz bei Systemstart: Schutz bei Systemstart, bevor die IPS-Dienste gestartet werden
  • Neue Funktion für die Richtlinie zu den IPS-Regeln:
    • Auf der IP-Adresse für Netzwerk-IPS-Signaturen basierende Ausnahmen
    • Vertrauenswürdige Netzwerke für IPS-Signaturen und Firewall-Regeln
    • Die Übereinstimmung ausführbarer Dateien für Anwendungen wird bei Signaturen und Ausnahmen nun nach Pfad, Hash, digitaler Signatur und Dateibeschreibung und nicht nur nach Pfad vorgenommen.
Firewall
  • Neue Funktionen für die Richtlinie für Firewall-Optionen:
    • TrustedSource-Bewertung und -Blockierung: Firewall-Regeln blockieren oder erlauben eingehenden oder ausgehenden Verkehr entsprechend den McAfee TrustedSource-Bewertungen.
    • IP-Fälschungsschutz: Firewall-Regeln blockieren ausgehenden Verkehr, wenn es sich bei der lokalen IP-Adresse nicht um eine IP-Adresse des lokalen Systems handelt und wenn die lokale MAC-Adresse keine MAC-Adresse eines VM-Gasts ist.
    • Bridged-VM-Unterstützung: Firewall-Regeln lassen Verkehr über eine lokale MAC-Adresse zu, bei der es sich nicht um die MAC-Adresse des lokalen Systems handelt, sondern um eine der MAC-Adressen im Bereich der unterstützten VM-Software.
    • Schutz bei Systemstart: Firewall-Regeln blockieren den gesamten eingehenden Verkehr, bevor die Firewall-Dienste gestartet werden.
  • Neue Funktionen für die Richtlinie für Firewall-Regeln:
    • Firewall-Regeln sind viel flexibler: Eine einzelne Regel kann nun mehrere Anwendungen (früher nur eine), mehrere Netzwerke (früher nur eines), ein lokales Netzwerk und ein Remote-Netzwerk (früher nur ein Remote-Netzwerk) und zusätzlich zu drahtgebundenen und drahtlosen Medientypen auch einen VPN-Medientyp umfassen.
    • Bei Verbindungsgruppen (CAG, Connection-Aware Group) handelt es sich nun einfach um Firewall-Gruppen, die über Standortinformationen und Zeitpläne mit zeitbasiertem Zugriff auf ihnen zugeordnete Verbindungen verfügen.
    • Die Übereinstimmung ausführbarer Dateien für Anwendungen wird bei Firewall-Regeln nun nach Pfad, Hash, digitaler Signatur und Dateibeschreibung und nicht nur nach Pfad und Hash vorgenommen.
  • Zusätzliche Firewall-Richtlinie: Firewall-DNS-Blockierung, die aus einer Reihe zu blockierender Domänennamenmuster besteht. Mit dieser Richtlinie wird die Domänenregel ersetzt, die die DNS-Auflösung für vom Benutzer angegebene Domänennamen blockiert hat.
Allgemein
  • Die Richtlinien für die Anwendungsblockierung wurden entfernt, und ihre Funktionalität wurde durch zwei Inhaltssignaturen in der Richtlinie für Host IPS-Regeln ersetzt.
  • Firewall-Quarantäne-Richtlinien wurden entfernt.
  • Neuer Host IPS-Katalog zum Organisieren und Ermöglichen der erneuten Verwendung häufig verwendeter Richtlinienkomponenten für Richtlinien, insbesondere Firewall-Gruppen, Regeln, Standort, ausführbare Dateien und Netzwerke.
  • Einzelne im gesamten Produkt verwendete Standardplatzhalter
  • In einem allgemeinen Ordner gespeicherte Protokolle, von denen einige für eine einfache Lesbarkeit vereinfacht wurden
Unterstützte Plattformen
  • Vollständige Funktionsparität für Windows-Plattformen mit 32-Bit und 64-Bit (außer Windows XP).
  • Hinzugefügt: Unterstützung von Windows 7, SUSE Linux 10 SP3, SUSE Linux 11, Solaris Zone
  • Entfernt: Windows 2000, Solaris 8 und SUSE Linux 9
SQL-Unterstützung
  • Hinzugefügt: SQL 2005, SQL 2008
  • Entfernt: SQL Server 2000
Erweiterungs-/Client-Funktionalität
  • Zwei Versionen von Host Intrusion Prevention 8.0: eine reine Firewall-Version und eine vollständige Version mit Firewall- und IPS-Schutz.
  • Host IPS-Erweiterungskompatibilität mit den Versionen 4.0, 4.5 und 4.6 von ePolicy Orchestrator.
  • Möglichkeit zum Installieren der Host IPS 8.0-Erweiterung in ePolicy Orchestrator, selbst wenn frühere Versionen von Host IPS installiert sind.
  • Die Host IPS 8.0-Erweiterung verwaltet nur Host IPS 8.-Clients. Frühere Client-Versionen können nicht unterstützt werden.
  • Der IPS- und Firewall-Schutz wird nach der ersten Installation auf dem Client deaktiviert und muss von der Anwendung einer Richtlinie aktiviert werden.
  • Auf allen Plattformen kann die Aktualisierung von der Testversion auf die lizenzierte Version von ePolicy Orchestrator ohne erneute Installation eines Clients vorgenommen werden.

Bekannte Probleme

Hier finden Sie eine Liste der zum Zeitpunkt der Produktion bekannten Probleme.

Eine aktualisierte Liste der mit dieser Version verknüpften Probleme finden Sie im KnowledgeBase-Artikel 69184 unter http://knowledge.mcafee.com.

Host Intrusion Prevention-Erweiterung

  1. Problem – Wenn die Option "Lokales Subnetz automatisch einschließen" in einer zugeordneten Richtlinie "Vertrauenswürdige Netzwerke" ausgewählt ist und ein HTTP- oder Netzwerk-IPS-Ereignis von einem Remotesystem im lokalen Subnetz ausgelöst wird, wird die Remote-IP-Adresse in den IPS-Ereignisdetails nur dann als vertrauenswürdig gemeldet, wenn die Remote-IP-Adresse explizit in die Richtlinie "Vertrauenswürdige Netzwerke" eingebunden wird. (521370)
  2. Problem – Die Speicherortübereinstimmung in einer Firewall-Regelgruppe kann bis zu 20 Sekunden dauern, wenn ein neuer Registrierungswert mit Daten für die Gruppe erstellt wird. (549386)
  3. Problem – Die Richtlinie "Firewall-DNS-Blockierung" unterstützt derzeit keine Namensübereinstimmung für lokalisierte Domänen. (577764)
  4. Problem – Für benutzerdefinierte Signaturen, Ausnahmen und vertrauenswürdige Anwendungen muss der Code für Anwendungspfade für Remote- und Systemprozesse Klammern enthalten:
    • Remote-Prozessübereinstimmung--Pfad <SystemRemoteClient> Executable { Include { -path <SystemRemoteClient> }}
    • System-Prozessübereintimmung--Pfad <System>

    Beispiel: Executable { Include { -path <SystemRemoteClient>}}

    (566890)
  5. Problem – Wenn sich die Firewall im adaptiven Modus befindet, wird der ICMP-Datenverkehr blockiert, und es wird keine Zulassungsregel erstellt.

    Workaround – Wenden Sie die Richtlinie für die typischen Beispiel-Firewall-Richtlinien für Unternehmen an, da diese bereits ICMP-Regeln enthält. (489628)

  6. Problem – Wenn Sie Anwendungen, Transportoptionen oder Remote-Netzwerke für eine Firewall-Gruppe definiert haben und dann die Option für Konnektivitätsisolation aktivieren, werden all diese Daten dauerhaft aus der Gruppe entfernt. Das Deaktivieren der Konnektivitätsisolation stellt die Anwendungen, Transportoptionen oder Remote-Netzwerke für die Firewall-Gruppe nicht wieder her. (617832)
  7. Problem – Sie können Firewall-Regeln nicht in eine neue leere Firewall-Gruppe ziehen und ablegen.

    Workaround – Bewegen Sie eine Firewall-Regel in der Liste nach oben oder unten, um sie in eine neue Firewall-Gruppe zu verschieben. Sobald die Gruppe eine Regel enthält, können Sie Regeln in die Gruppe ziehen und ablegen. (575087)

  8. Problem – Eine neue Firewall-Gruppe ohne Regeln kann zum Host IPS-Katalog hinzugefügt werden, aber sie kann erst bearbeitet werden, sobald eine Firewall-Regel hinzugefügt wurde.

    Workaround – Stellen Sie sicher, dass jede zum Host IPS-Katalog hinzugefügte Firewall-Gruppe mindestens eine Firewall-Regel enthält. (625030)

  9. Problem – Wenn die Host IPS-Erweiterungen entfernt und anschließend die gleichen oder höhere Versionen installiert werden, müssen Sie den McAfee ePolicy Orchestrator-Ereignisanalysedienst neu starten. Bis dieser Dienst neu gestartet ist können Ereignisse verloren gehen oder falsch angezeigt werden. (626040).
  10. Problem – ‎Wenn Sie die Host Intrusion Prevention 8.0-Erweiterung mit dem ePolicy Orchestrator 4.6-Software Manager herunterladen wollen, müssen Sie möglicherweise mehr als eine Erweiterung herunterladen. Im Zweifelsfall enthält das Host Intrusion Prevention 8.0-Installationshandbuch Informationen, die Ihnen helfen sicherzugehen, dass Sie alle benötigten Erweiterungen installiert haben. (625745)
  11. Problem – Scrollbare Bereiche in manchen Firewall-Regeln, die nach Host Intrusion Prevention 8.0 migriert wurden, kann das Scrollen bei großen Datenmengen fehlschlagen. (623329)
  12. Problem – Wenn eine Firewall-Gruppe mit dem Host IPS-Katalog verlinkt und die Verlinkung beschädigt ist, bleiben die Firewall-Regeln innerhalb der Gruppe mit dem Katalog verlinkt.

    Workaround – Speichern Sie die Richtlinie, die die Firewall-Gruppe enthält, und öffnen Sie dann die Richtlinie neu. So wird die Verlinkung der Regeln zum Katalog entfernt. (624622)

Host Intrusion Prevention-Client

  1. Problem – Unter Windows-Clients ist die Reparaturoption für Host Intrusion Prevention in der Steuerkonsole "Software" nicht verfügbar.

    Workaround – Verwenden Sie einen der folgenden Befehle, um Reparaturen unter diesen Betriebssystemen auszuführen:

    • 32-Bit-Version: msiexec.exe /fvomus {6B005DF6-6B6E-4551-B632-B0001DF50499} /l*v %windir%\Temp\McAfeeLogs\hip8.0_repair.log
    • 64-Bit-Version: msiexec.exe /fvomus {D2B9C003-A3CD-44A0-9DE5-52FE986C03E5} /l*v %windir%\Temp\McAfeeLogs\hip8.0_repair.log (573713)
  2. Problem – Nach einer Aktualisierung kann der Host Intrusion Prevention-Client möglicherweise nicht neu gestartet werden.

    Workaround – Wenn die Meldung "Failed to initialize Scrutinizer" (Scrutinizer konnte nicht initialisiert werden) sowohl in die Datei HIPShield-Log als auch in das Windows-Ereignisprotokoll geschrieben und das Systemereignis "Failure stage: initialization – Agent Terminated" (Fehlerebene: Initialisierung – Agent beendet) generiert wird, müssen Sie das Client-System neu starten.

  3. Problem – Bei der Installation unter Windows XP werden Host Intrusion Prevention-Treiber mitunter als "unsigniert" behandelt. Eine Beschreibung und Problembehebung hierzu finden Sie im Microsoft Knowledge Base-Artikel 822798. Alternativ können Sie in den entsprechenden Dialogfeldern auf "Weiter" klicken, sodass die Software auf diese Weise korrekt installiert wird. (593237)
  4. Problem – Der HTTP-Dienst startet bei Ausführung neu, sobald ein Host-IPS-Client installiert wird. (361247)
  5. Problem – IPS-Warnmeldungen und Client-Ausnahmen listen ausführbare Zieldateien auf, ohne dass eine ausführbare Standarddatei angegeben wird, die zum Öffnen der ausführbaren Zieldatei verwendet wird. Ausnahme bildet die Vereinigung der beiden ausführbaren Dateien. Details werden auf dem ePO-Server unter "Berichte" auf der Registerkarte "Host IPS" auf der Registerkarte "Details" der Ausnahme angezeigt. (590152)
  6. Problem – Das SQL-Modul von Host IPS meldet keine Remote-IP-Adressen. (591986)
  7. Problem – Eine dynamische IP-Spoofing-Regel, die zum Blockieren von Datenverkehr erstellt wurde, der einer Anwendung zugeordnet ist, wird gelöscht, wenn "Bestehende Client-Regeln beibehalten" in der Richtlinie "Firewall-Optionen" nicht ausgewählt ist.

    Workaround – Wählen Sie in der Richtlinie "Firewall-Optionen" die Option "Bestehende Client-Regeln beibehalten" aus. (590775)

  8. Problem – Nach erfolgreicher Installation des Host Intrusion Prevention-Clients mit dem Tool eines Drittanbieters startet der Client nicht.

    Workaround – Überprüfen Sie, ob die für den Host Intrusion Prevention-Client benötigte Microsoft Visual C++ 2005 Redistributable-Datei auf dem jeweiligen System installiert ist. Diese Datei wird automatisch installiert, wenn der Client über ePolicy Orchestrator geladen oder lokal mit der ClientSetup.exe installiert wird.

  9. Problem – Den über das ClientControl-Tool bezogenen Signaturdetails von Host IPS fehlen Beschreibung, Schweregrad, Status und Protokolldetails, die man in Network IPS-Signaturen findet. (610735)
  10. Problem – Die Remote-IP-Adresse für eine IPS-Netzwerkausnahme wird nur erkannt, wenn sich um eine einzelne IP-Adresse oder einen IP-Adressbereich handelt. Wenn diese IP-Adresse mit einer CIDR-Subnetznotation angegeben ist (zum Beispiel 172.16.43.0/24), wird sie nicht erkannt.

    Workaround – Vermeiden Sie die Verwendung der CIDR-Subnetznotation für die IP-Adressen dieser Ausnahmen. (620740)

  11. Problem – Es gibt keinen HTTP-Schutz für Web-Server, die in einer lokalen Solaris-Zone arbeiten. Schutz ist nur verfügbar, wenn der Web-Server in einer globalen Zone arbeitet. (563779)
  12. Problem – Bei einem Upgrade des Host IPS Linux 7.1.0-Clientsauf die Version 8.8.8 müssen Sie das Linux-System neu starten, nachdem der Client installiert ist. (590169)
  13. Problem – Die Installation des Citrix SSL VPN-Clients auf einem System mit installiertem Host Intrusion Prevention 8.0-Client kann zu einem Fehler führen.

    Workaround – Starten Sie das System in diesem Fall neu.(626750)

  14. Problem – Die Installation von Host Intrusion Prevention 8.0 auf einem System mit NetMotion VPN-Client deaktiviert den VPN-Client.

    Workaround – Starten Sie das System neu, um auch den VPN-Client neu zu starten. (625391)

  15. Problem – Die Felder für Anwendungsnamen und Namen von ausführbahren Dateien können in den Firewall-Regeln leer angezeigt werden, wenn sie aus den Versionen 6.1 und 7.0 migriert wurden. (488049)
  16. Problem – Das Host Intrusion Prevention 8.0-Installationshandbuch listet den Nortel Contivity VPN Client 10.x und Microsoft Forefront UAG 2010 als unterstützte VPN-Clients auf. Die Clients wurden nicht mit dem Host Intrusion Prevention 8.0-Client getestet und sollten für diese Version von der Liste der unterstützten VPN-Clients gestrichen werden. (626967)
  17. Problem – Wenn VMware mit aktviertem IPS-Schutz läuft, und der IPS-Schutz dann deaktiviert wird, kann der Schutz während der VWware-Sitzung nicht wieder aktiviert werden. Zur erneuten Aktivierung des Schutzes müssen Sie die VWware-Sitzung beenden und mit aktiviertem IPS-Schutz neu starten. (594086)

Finden von Produktinformationen

McAfee stellt die Informationen bereit, die Sie in der jeweiligen Phase der Produktimplementierung benötigen – von der Installation über die Verwendung bis hin zur Fehlerbehebung. Nachdem ein Produkt veröffentlicht worden ist, wird die online verfügbare McAfee KnowledgeBase um Informationen zu dem Produkt ergänzt.

  1. Begeben Sie sich zum ServicePortal des technischen Supports von McAfee unter http://mysupport.mcafee.com.
  2. Greifen Sie unter Self Service (Online-Support) auf die erforderlichen Informationen zu:
    Benutzerdokumentation Wissensdatenbank
    1. Klicken Sie auf Product Documentation (Produktdokumentation).
    2. Treffen Sie zunächst unter Product (Produkt) und dann unter Version (Version) eine Auswahl.
    3. Wählen Sie ein Produktdokument aus.
    • Klicken Sie auf Search the KnowledgeBase (KnowledgeBase durchsuchen), um Antworten auf produktbezogenen Fragen ausfindig zu machen.
    • Klicken Sie auf Browse the KnowledgeBase (Suche in der KnowledgeBase), um nach Produkt und Version geordnete Artikel anzuzeigen.
COPYRIGHT

COPYRIGHT

Copyright © 2010 McAfee, Inc. Alle Rechte vorbehalten.

Diese Publikation darf in keiner Form und in keiner Weise ohne die schriftliche Genehmigung von McAfee, Inc., oder ihren Lieferanten und angeschlossenen Unternehmen ganz oder teilweise reproduziert, übermittelt, übertragen, in einem Abrufsystem gespeichert oder in eine andere Sprache übersetzt werden.

MARKEN

MARKEN

AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN, WEBSHIELD sind eingetragene Marken oder Marken von McAfee, Inc. und/oder der Tochterunternehmen in den USA und/oder anderen Ländern. Die Farbe Rot in Verbindung mit Sicherheit ist ein Merkmal der McAfee-Produkte. Alle anderen eingetragenen und nicht eingetragenen Marken in diesem Dokument sind alleiniges Eigentum der jeweiligen Besitzer.

INFORMATIONEN ZUR LIZENZ

INFORMATIONEN ZUR LIZENZ

Lizenzvereinbarung

HINWEIS FÜR ALLE BENUTZER: LESEN SIE DEN LIZENZVERTRAG FÜR DIE VON IHNEN ERWORBENE SOFTWARE SORGFÄLTIG DURCH. ER ENTHÄLT DIE ALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN FÜR DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE. WENN SIE NICHT WISSEN, WELCHEN SOFTWARE-LIZENZTYP SIE ERWORBEN HABEN, SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITEREN UNTERLAGEN BEZÜGLICH DER LIZENZGEWÄHRUNG ODER DEN BESTELLUNTERLAGEN NACH, DIE SIE ZUSAMMEN MIT DEM SOFTWAREPAKET ODER SEPARAT (ALS BROSCHÜRE, DATEI AUF DER PRODUKT-CD ODER ALS DATEI, DIE AUF DER WEBSEITE VERFÜGBAR IST, VON DER SIE AUCH DAS SOFTWAREPAKET HERUNTERGELADEN HABEN) ERHALTEN HABEN. WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEFÜHRTEN BESTIMMUNGEN NICHT EINVERSTANDEN SIND, UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE. SOFERN MÖGLICH, GEBEN SIE DAS PRODUKT AN MCAFEE ODER IHREN HÄNDLER BEI VOLLER RÜCKERSTATTUNG DES KAUFPREISES ZURÜCK.