Häufig gestellte Fragen (FAQ)

In diesem Abschnitt werden einige praktische Fragen beantwortet, die im Zusammenhang mit der Verwendung von Host Intrusion Prevention 6.0 aufkommen können.

Was ist eine Richtlinie?

Eine Richtlinie ist eine benutzerdefinierte Untermenge der Produkteinstellungen, die einer Richtlinienkategorie entspricht. Sie können beliebig viele benannte Richtlinien für jede Richtlinienkategorie erstellen, ändern oder löschen.

Was ist die McAfee-Standardrichtlinie?

Nach der Installation enthält jede Richtlinienkategorie mindestens eine benannte Richtlinie, McAfee-Standard. Die McAfee-Standardrichtlinien können weder bearbeitet noch umbenannt oder gelöscht werden.

Was passiert mit den Knoten des Verzeichnisses unter einem Knoten, dem ich eine neue Richtlinie zugewiesen habe?

Alle Knoten, für die für eine bestimmte Richtlinienkategorie die Vererbung aktiviert ist, erben die auf den übergeordneten Knoten angewendeten Richtlinien.

Welche Auswirkungen hat es auf die Knoten, auf die eine Richtlinie angewendet wird, wenn die Richtlinie geändert wird?

Alle Knoten, auf die eine Richtlinie angewendet wird, erhalten bei der nächsten Kommunikation zwischen Agent und Server oder bei Ausführung einer Agenten-Reaktivierung sämtliche an der Richtlinie vorgenommenen Änderungen. Die Richtlinie wird dann bei jedem Richtliniendurchsetzungsintervall erzwungen.

Warum wird die neue Host Intrusion Prevention-Richtlinie, die ich zugewiesen habe, nicht durchgesetzt?

Neue Richtlinienzuweisungen werden erst durchgesetzt, wenn nach der Zuweisung die nächste Kommunikation zwischen dem Agenten und dem Server stattfindet oder bei Ausführung einer Agenten-Reaktivierung. Wenn die Client-UI mit einem Kennwort entsperrt wird, werden ebenfalls keine neuen Richtlinienzuweisungen erzwungen.

Kann ich die Verwaltung von IPS- und Firewall-Richtlinien an verschiedene Verwalter delegieren, die sich an unterschiedlichen geographischen Standorten befinden?

Ja. Die Host Intrusion Prevention bietet Ihnen die Möglichkeit, die Verantwortung für alle oder für einzelne Produktfunktionen, wie IPS oder Firewall, zu delegieren. Eine stärkere Verfeinerung der Rollen innerhalb der Funktion wird nicht unterstützt – beispielsweise die Agenten-Verwaltung und das Erstellen von Ausnahmen.

Weisen Sie Benutzerberechtigungen auf Site-Ebene zu, eine Ebene unter dem Stammverzeichnis, dann werden die Berechtigungen an alle unter der Site liegenden Knoten übergeben. Ausdrückliche Benutzerberechtigungen auf Knoten unterhalb der Site-Ebene werden nicht unterstützt. Um die Verwaltung nach geographischem Standort zu delegieren, legen Sie einen geographischen Standort an einem Site-Knoten fest und wenden dann die entsprechenden Benutzerrechte an.

Kann ich dieselbe Sicherheitskonfiguration auf verschiedene Systeme anwenden?

Knoten sind in der Konsolenstruktur hierarchisch angeordnet. Sie weisen Richtlinien Knoten zu, daher weisen die Knoten auf Site-Ebene in der Regel profilbasierte Gruppierungen auf, wie „Alle Server“, „Alle Desktops“, „IIS-Server“ oder „SQL-Server“. Dieses Gruppierungsmuster kann unter allen Site-Knoten repliziert werden.

ePolicy Orchestrator ermöglicht das Erstellen von knotenunabhängigen Richtlinien, die von allen Knoten gemeinsam verwendet werden können. Wenn Sie einem Knoten eine Richtlinie zuweisen, wird diese von den untergeordneten Knoten automatisch übernommen, sofern sie nicht durch eine andere Richtlinie überschrieben wird. Sie können eine Richtlinie erstellen, die zu einem Profil passt, wie eine IIS-Server-Richtlinie, und diese auf alle entsprechenden Knotengruppen, wie IIS-Server, anwenden.

Platzieren Sie einen Computer mit einem neuen Host Intrusion Prevention-Agenten in einer geeigneten Profilgruppe, damit ihm die richtigen Sicherheitsrichtlinien zugewiesen werden. Wenn dies nicht möglich ist, können Sie eine Richtlinie für einen einzelnen Agenten einrichten, indem Sie die Richtlinien auf den einzelnen Knotenebenen ändern. Die meisten übernommenen Richtlinien können überschrieben werden, sofern einer Richtlinie keine erzwungene Übernahme zugewiesen ist.

 

Wenn die ePolicy Orchestrator-Strukturknoten bereits so organisiert wurden, dass sie Produkte unterstützen, deren Organisation nicht zur Host Intrusion Prevention passt, kann es schwierig sein, die Struktur zu reorganisieren. Da die Reorganisation vorhandene Richtlinienzuweisungen unterbrechen kann, ist es erforderlich, alle Berechtigungen für alle anwendbaren Produkte zu kennen.

Kann ich die auf einen bestimmten Knoten oder Agenten anwendbaren Richtlinien anzeigen oder bearbeiten?

Ja. Die Host Intrusion Prevention besitzt bestimmte Kategorien, wie IPS-Regeln und den IPS-Schutz, die jeweils unterschiedliche Einstellungen ermöglichen. Innerhalb der Host Intrusion Prevention-Funktionen finden Sie auf der Registerkarte „Richtlinien“ die Kategorien des ausgewählten Knotens. Jede Kategorie zeigt die Namen der ihr zugewiesenen Richtlinien an. Wie der „IPS-Schutz“ weisen die meisten Kategorien nur eine Richtlinie auf, während die Kategorien „IPS-Regeln“ und „Vertrauenswürdige Anwendungen“ auch mehrere Richtlinieninstanzen besitzen können. Um die Einzelheiten zu jeder Richtlinie anzuzeigen, klicken Sie auf den Namen der Richtlinie.

Wie kann ich alle verfügbaren Richtlinien und die Knoten anzeigen, denen diese zugewiesen sind?

Die ePolicy Orchestrator-Struktur besitzt einen Knoten „Richtlinienkatalog“, der eine Liste aller, in jeder Kategorie vorhandenen Richtlinien und die Anzahl der Zuweisungen anzeigt. Klicken Sie auf den Zählerwert, um eine Liste aller Knoten anzuzeigen, denen die Richtlinie direkt zugewiesen wird. Der Zähler enthält nicht die Knoten, an die die Richtlinie vererbt wurde.

Wie kann ich die durch Agenten ausgelösten IPS-Ereignisse anzeigen?

ePolicy Orchestrator besitzt keinen eigenen Ereignis-Viewer. Daher werden Ereignisse innerhalb der Richtlinie „IPS-Regeln“ über die Host Intrusion Prevention-Registerkarte „IPS-Ereignisse“ behandelt. Um die Liste der mit einem ausgewählten Knoten verbundenen Ereignisse anzuzeigen, klicken Sie auf die Registerkarte „Richtlinien“ und dann auf die Verknüpfung „IPS-Ereignisse“. Die Registerkarte „IPS-Ereignisse“ enthält den gesamten Satz aller durch Agenten unter dem ausgewählten Knoten für eine bestimmte Anzahl von Tagen generierten IPS-Ereignisse. Die Anzeige wird automatisch aktualisiert, sobald neue Ereignisse ausgelöst werden. Folgende Optionen sind verfügbar:

Wie erstelle ich eine auf einem IPS-Ereignis basierende Ausnahme?

Wählen Sie auf der Registerkarte „IPS-Ereignisse“ ein einzelnes Ereignis aus, und klicken Sie auf Ausnahme erstellen. Ein auf der Grundlage des Originalereignisses vorbelegtes Dialogfeld „Neue Ausnahme“ wird geöffnet. Auf einer Registerkarte des Dialogfeldes „Neue Ausnahme“ wird eine Liste der Zielinstanzen der IPS-Regelrichtlinie angezeigt, in der Sie die Ausnahme beim Erstellen platzieren.

 

Die neue Ausnahme kann nur in einer bestehenden Richtlinie platziert werden, die bearbeitet werden kann.

Wenden Sie eine Ausnahme entweder auf einen bestimmten Agenten oder auf eine Vielzahl von Agenten an – Zielrichtlinie für eine Ausnahme kann entweder eine bestimmte Agentenrichtlinie sein oder eine, die einem verbreiteten Profil entspricht. Alle Richtlinien sind jedoch standardmäßig freigegeben und erscheinen in der Zuweisungsliste aller Knoten. Es empfiehlt sich, eine geringe Anzahl von Richtlinien sorgfältig zu erstellen und zu warten, die gemeinsam die Anforderungen aller Agenten erfüllen.

Anstatt eine neue Ausnahme zu erstellen, können Sie auch eine in einer Richtlinie vorhandene Ausnahme mit ähnlichen Attributen bearbeiten. Hierzu verwenden Sie die Funktion für die Suche nach ähnlichen Ausnahmen.

Wie kann ich die IPS-Regelrichtlinien mithilfe des automatischen Tuning-Mechanismus verfeinern?

Die Host Intrusion Prevention bietet die Option des adaptiven Modus. Damit können Agenten automatisch und ohne Rückmeldung Client-Regeln erstellen, die blockierte, aber unschädliche Aktivitäten zulassen. Wenn Agenten über einen gewissen Zeitraum im adaptiven Modus gearbeitet haben, können Administratoren:

Wie erstelle ich benutzerdefinierte Signaturen für eine IPS-Richtlinie?

Benutzerdefinierte Signaturen sind Teil der IPS-Regelrichtlinie. Sie können im Rahmen der spezifischen Sicherheitsanforderungen eines Profils erstellt werden. Für einfache Signaturen ist ein Assistent für benutzerdefinierte Signaturen verfügbar. Fortschrittliche Benutzer verwenden den Standard- oder den Expertenmodus.

Wie reorganisiere ich vorhandene Ausnahmen und benutzerdefinierte Signaturen in einer neuen Richtlinie?

Sie haben als Administrator bei einigen Agenten Falsch-Positiv-Meldungen gefunden und dafür Ausnahmen erstellt. Da diese Falsch-Positiv-Ereignisse vereinzelt auftraten, haben Sie sie in verschiedenen Richtlinien platziert. Auf den zweiten Blick erkennen Sie ein neues Muster, das in einer eigenen Richtlinie isoliert werden kann.

Um diese Ausnahmen in einer neuen Richtlinie zu reorganisieren, müssen Sie eine neue IPS-Regelrichtlinie erstellen und diese zur Liste der IPS-Regelrichtlinien für den entsprechenden Knoten hinzufügen. Zeigen Sie die Liste aller Ausnahmen der verschiedenen, diesem Knoten zugewiesenen Richtlinien an. Wählen Sie die entsprechenden Ausnahmen aus, und verschieben Sie diese in die neue Richtlinie.

Diese neue Richtlinie kann dann auf weitere Agenten angewendet werden, die einzeln oder als Gruppe zu dem neu festgestellten Profil passen.

Wie finde ich vorhandene Richtlinien, die mit einem bestimmten Profil übereinstimmen?

In der Regel besitzt ein Unternehmen mehrere IPS-Regelrichtlinien – je eine pro Agentenprofil, wie IIS-Server und SQL-Server. Typischerweise verwalten mehrere Administratoren verschiedene Teile des Systems, wobei sie häufig in unterschiedlichen Schichten arbeiten. Daher ist es von essentieller Bedeutung, eine kleine Anzahl gut gewarteter Richtlinien zu besitzen. Dies erleichtert Administratoren das schnelle Verständnis der aktuellen Richtlinienorganisation, und sie finden schneller das, was sie suchen.

Mit der Suchfunktion für IPS-Ausnahmeregeln können Sie Ausnahmen auf der Grundlage ihrer Attribute suchen und deren im Prozess übergeordnete Richtlinie ermitteln. Die Suchfunktion bietet folgende Möglichkeiten:

Copyright © 2005 McAfee, Inc. Alle Rechte vorbehalten.