McAfee Host Intrusion Prevention 8.0

Transcription

McAfee Host Intrusion Prevention 8.0
Guide d'installation
COPYRIGHT
Copyright © 2010 McAfee, Inc. Tous droits réservés.
Aucune partie de cette publication ne peut être reproduite, transmise, transcrite, stockée dans un système d'archivage ou traduite dans toute
autre langue, sous quelque forme ou par quelque moyen que ce soit sans l'autorisation écrite de McAfee, Inc., de ses fournisseurs ou de ses
sociétés affiliées.
DROITS DE MARQUES
AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE
EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN et
WEBSHIELD sont des marques commerciales déposées ou des marques commerciales de McAfee, Inc. et/ou de ses sociétés affiliées aux Etats-Unis
et/ou dans d'autres pays. La couleur rouge McAfee utilisée pour identifier des fonctionnalités liées à la sécurité est propre aux produits de la
marque McAfee. Toutes les autres marques commerciales déposées ou non déposées citées dans ce document sont la propriété exclusive de
leurs détenteurs respectifs.
INFORMATIONS DE LICENCE
Accord de licence
À L'ATTENTION DE TOUS LES UTILISATEURS : VEUILLEZ LIRE ATTENTIVEMENT L'ACCORD LÉGAL APPROPRIÉ CORRESPONDANT À LA LICENCE
QUE VOUS AVEZ ACHETÉE, QUI DÉFINIT LES CONDITIONS GÉNÉRALES D'UTILISATION DU LOGICIEL SOUS LICENCE. SI VOUS NE CONNAISSEZ
PAS LE TYPE DE LICENCE QUE VOUS AVEZ ACQUIS, CONSULTEZ LES DOCUMENTS DE VENTE, D'ATTRIBUTION DE LICENCE OU LE BON DE
COMMANDE QUI ACCOMPAGNENT LE LOGICIEL OU QUE VOUS AVEZ REÇUS SÉPARÉMENT LORS DE L'ACHAT (SOUS LA FORME D'UN LIVRET,
D'UN FICHIER SUR LE CD-ROM DU PRODUIT OU D'UN FICHIER DISPONIBLE SUR LE SITE WEB À PARTIR DUQUEL VOUS AVEZ TÉLÉCHARGÉ
LE PACKAGE LOGICIEL). SI VOUS N'ACCEPTEZ PAS TOUTES LES DISPOSITIONS DE CET ACCORD, NE PROCÉDEZ PAS À L'INSTALLATION DU
LOGICIEL. LE CAS ÉCHÉANT, VOUS POUVEZ RETOURNER LE PRODUIT À MCAFEE OU À VOTRE REVENDEUR AFIN D'EN OBTENIR LE
REMBOURSEMENT INTÉGRAL.
2
Guide d'installation de McAfee Host Intrusion Prevention 8.0
Table des matières
Installation de McAfee Host Intrusion Prevention. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Composants. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Présentation de l'installation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Nouveautés de cette version. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Meilleures pratiques pour une réussite rapide. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
1. Stratégie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2. Préparation d'un environnement pilote. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
3. Installation et configuration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
4. Réalisation du paramétrage initial. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
5. Activation du mode adaptatif (optionnel). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
6. Affinage du paramétrage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
7. Maintenance et développement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Installation dans ePolicy Orchestrator. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Installation de l'extension. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Suppression de l'extension. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Migration des stratégies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Migration des stratégies à partir des versions précédentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Migration des stratégies via un fichier xml. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Installation du client Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Informations sur le client Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Installation du client Windows à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Installation locale du client Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Application des stratégies et des mises à jour de contenu IPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Suppression du client Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Résolution des problèmes d'installation sous Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Arrêt du client Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Redémarrage du client Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Installation du client Solaris. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Informations sur le client Solaris. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Installation du client Solaris à distance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
3
Table des matières
Installation locale du client Solaris. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Suppression du client Solaris. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Résolution des problèmes d'installation sous Solaris. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Arrêt du client Solaris. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Redémarrage du client Solaris. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Installation du client Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Informations sur le client Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Installation du client Linux à distance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Installation locale du client Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Suppression du client Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Résolution des problèmes d'installation sous Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Arrêt du client Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Redémarrage du client Linux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
4
Installation de McAfee Host Intrusion
Prevention
Ce guide fournit toutes les informations nécessaires à l'installation et au démarrage du logiciel
Host Intrusion Prevention 8.0 dans un environnement géré. L'extension du produit est installée
sur les versions 4.0, 4.5 et 4.6 du serveur ePolicy Orchestrator. Le client est installé sur les
stations de travail et les serveurs Windows, ainsi que les serveurs Solaris et Linux.
Fonctionnalités du produit
Host Intrusion Prevention propose un pare-feu pour poste client sur les systèmes Windows et
une solution gérable et modulable pour prévenir les intrusions sur les stations de travail Windows
ou non, les ordinateurs portables et les serveurs critiques tels que les serveurs web et les
serveurs de base de données. Il bloque le trafic réseau indésirable ou nuisible et il bloque de
façon proactive les attaques inconnues précédemment (de type « jour zéro ») et les attaques
connues, à l'aide d'une technologie brevetée et primée. Deux versions de Host Intrusion
Prevention 8.0 sont disponibles : une version avec pare-feu uniquement et une version complète
contenant la protection IPS et la protection par pare-feu.
Gestion et adaptabilité
Host Intrusion Prevention est géré par ePolicy Orchestrator qui offre et met en œuvre des
stratégies et autres solutions de sécurité de niveau critique telles que la protection contre les
virus. Cette approche gérée réduit le volume de communications entre les applications. C'est
une solution unique qui permet un déploiement massif (jusqu'à 100 000 systèmes client) dans
plusieurs langues et peut ainsi couvrir une entreprise de dimension internationale.
Sécurité
Host Intrusion Prevention combine des règles comportementales, des signatures et un pare-feu
système avec état pour bloquer les attaques et pallier l'urgence de se procurer des patchs contre
les nouvelles menaces. Votre système est protégé par les paramètres par défaut, qui permettent
un déploiement rapide, à grande échelle. Pour une plus grande protection, vous pouvez appliquer
des stratégies prédéfinies ou personnalisées plus strictes.
La base de données ePO contient des données de contenu de sécurité, notamment les signatures,
qui apparaissent dans les stratégies de Host Intrusion Prevention. Les mises à jour sont traitées
par un package de mise à jour de contenu qui contient des informations sur la version et des
scripts de mise à jour. Lors de l'archivage, la version du package est comparée au contenu le
plus récent de la base de données. Si le package est plus récent, les données de contenu sont
extraites et stockées. Le nouveau contenu est transmis aux clients à la prochaine communication
agent-serveur.
REMARQUE : les mises à jour de contenu Host Intrusion Prevention sont archivées manuellement
ou automatiquement avec une tâche d'extraction dans le référentiel ePO, puis envoyées aux
clients à l'aide d'une tâche de mise à jour. Les clients Host Intrusion Prevention n'obtiennent
les mises à jour qu'à travers la communication avec le serveur ePO.
5
Installation de McAfee Host Intrusion Prevention
Composants
Comment fonctionne la protection
ePolicy Orchestrator communique les informations relatives aux stratégies aux clients Host
Intrusion Prevention, à intervalles réguliers par le biais de l'ePO Agent. Les clients Host Intrusion
Prevention mettent en œuvre les stratégies, recueillent les informations d'événements et
renvoient les informations à ePolicy Orchestrator à travers McAfee Agent.
Figure 1 : Protection Host Intrusion Prevention
Table des matières
Composants
Présentation de l'installation
Nouveautés de cette version
Composants
Le logiciel Host Intrusion Prevention nécessite l'installation et l'exécution de plusieurs composants
en vue de sa protection.
Composants Host Intrusion Prevention :
6
• Serveur et référentiel ePolicy Orchestrator : outil de gestion qui permet d'installer le logiciel,
de déployer des stratégies, de surveiller l'activité, de créer des rapports et de stocker et
envoyer des mises à jour de contenus et de logiciels.
• McAfee Agent : agent installé sur un système managé qui sert d'intermédiaire entre le client
Host Intrusion Prevention et le serveur et la base de données ePolicy Orchestrator. Cet agent
envoie des données au client à partir du serveur ePO et vice versa.
• Extensions Host Intrusion Prevention : interface pour la gestion des stratégies dans la console
ePolicy Orchestrator.
• Client Host Intrusion Prevention : composant logiciel principal qui assure la protection contre
les intrusions sur la station de travail ou le serveur sur lequel il est installé.
• Mises à jour de contenu Host Intrusion Prevention (protection IPS uniquement) : contenu
de sécurité mis à jour, notamment les signatures et les applications approuvées, à intervalles
réguliers pour maintenir à jour la protection IPS à jour.
Host Intrusion Prevention est installé uniquement dans un environnement ePolicy Orchestrator.
Une base de données et un serveur ePO doivent être en place et McAfee Agent doit être installé
sur chaque système client où vous souhaitez installer Host Intrusion Prevention. Pour en savoir
plus sur la configuration requise et les instructions de configuration de cet environnement ePO,
consultez le Guide d'installation d'ePolicy Orchestrator.
Une fois le serveur et les agents ePO en place, installez l'extension appropriée de Host Intrusion
Prevention dans ePO. La version du produit que vous avez achetée (protection par pare-feu
uniquement ou protection par pare-feu et IPS) et la version d'ePO que vous utilisez permettent
de déterminer quelles extensions sont à installer. Pour en savoir plus, consultez la section
Installation dans ePolicy Orchestrator.
La dernière étape consiste à installer Host Intrusion Prevention sur les ordinateurs clients
fonctionnant sous Windows, Linux ou Solaris, où une version de McAfee Agent est déjà installée.
Pour en savoir plus, consultez la section Installation du client Windows. Installation du client
Solaris ou Installation du client Linux.
REMARQUE : la fonction par pare-feu Host Intrusion Prevention ne fonctionne que sur les
plates-formes Windows.
Suite aux modifications architecturales de cette version, les clients Host Intrusion Prevention
8.0 sont gérés uniquement par l'extension Host Intrusion Prevention 8.0. Vous pouvez toutefois
conserver l'extension version 7.0 en parallèle de l'extension version 8.0 et gérer les versions
précédentes des clients jusqu'à ce que vous soyez prêt à migrer vers la version 8.0. Pour en
savoir plus sur la migration, consultez la section Migration des stratégies.
Tableau 1 : Versions des composants
Sur le serveur ePolicy Orchestrator Sur les systèmes client
Version
Extensions Host IPS 8.0
4.0
Pare-feu uniquement pour
patch 6 et ePO 4.0
versions
ultérieures
Windows
Solaris
•
–
McAfee Agent 4.0
(patch 3 et ultérieur)
ou McAfee Agent 4.5
pour Windows
•
Client Host IPS 8.0
Linux
–
7
Sur le serveur ePolicy Orchestrator Sur les systèmes client
Version
Extensions Host IPS 8.0
Windows
Pare-feu et IPS pour ePO 4.0 •
•
Solaris
McAfee Agent 4.0
•
ou McAfee Agent 4.5
pour Windows
Client Host IPS 8.0
•
4.5
ePO 4.5
•
–
McAfee Agent 4.0
ou McAfee Agent 4.5
pour Windows
•
Client Host IPS 8.0
•
McAfee Agent 4.0
•
ou McAfee Agent 4.5
pour Windows
Client Host IPS 8.0
•
4.6
ePO 4.6
•
–
McAfee Agent 4.0
ou McAfee Agent 4.5
pour Windows
•
Client Host IPS 8.0
•
McAfee Agent 4.0
•
ou McAfee Agent 4.5
pour Windows
Client Host IPS 8.0
•
8
Linux
McAfee
•
Agent 4.0
(patch 3 et
ultérieur) ou
McAfee
Agent 4.5
•
(patch 1 et
ultérieur) pour
Solaris
McAfee Agent 4.0
(patch 3 et ultérieur) ou
McAfee Agent 4.5
pour Linux
Client Host IPS 8.0
Client Host
IPS 8.0
–
McAfee
•
Agent 4.0
(patch 3 et
ultérieur) ou
McAfee
Agent 4.5
•
(patch 1 et
ultérieur) pour
Solaris
McAfee Agent 4.0
McAfee Agent 4.5
pour Linux
Client Host IPS 8.0
Client Host
IPS 8.0
–
McAfee
•
Agent 4.0
(patch 3 et
ultérieur) ou
McAfee
Agent 4.5
•
(patch 1 et
ultérieur) pour
Solaris
Client Host
IPS 8.0
McAfee Agent 4.0
McAfee Agent 4.5
pour Linux
Client Host IPS 8.0
Cette version du produit comprend plusieurs nouvelles fonctionnalités, améliorations et
modifications.
IPS
• Nouvelles fonctionnalités pour la stratégie Options IPS :
• Protection au démarrage : protection au démarrage avant le lancement des services IPS
• Nouvelles fonctionnalités pour la stratégie Règles IPS :
• Exceptions basées sur une adresse IP pour les signatures IPS réseau
• Réseaux approuvés pour les signatures IPS et les règles de pare-feu
• La mise en correspondance des exécutables des applications s'effectue désormais par
chemin d'accès, hachage, signature numérique ou description de fichiers, pour les
signatures et les exceptions, et non plus uniquement par chemin d'accès.
Pare-feu
• Nouvelles fonctionnalités pour la stratégie Options de pare-feu :
• Evaluation et blocage TrustedSource : les règles de pare-feu bloquent ou autorisent le
trafic entrant et sortant d'après les évaluations de McAfee TrustedSource.
• Protection contre l'usurpation d'adresse IP : les règles de pare-feu bloquent le trafic
sortant lorsque l'adresse IP locale n'est pas une des adresses IP du système local et
lorsqu'une adresse locale MAC n'est pas une adresse MAC invitée de machine virtuelle.
• Prise en charge des machines virtuelles reliées par un pont : les règles de pare-feu
autorisent le trafic avec une adresse MAC locale qui n'est pas l'adresse MAC du système
local mais une des adresses MAC de la gamme de logiciels de machine virtuelle prise en
charge.
• Protection au démarrage : les règles de pare-feu bloquent tout trafic entrant avant que
les services du pare-feu ne démarrent.
• Stratégie de pare-feu supplémentaire : blocage DNS du pare-feu composé d'un ensemble
de modèles de noms de domaines à bloquer. Cette stratégie remplace la règle domaine qui
bloquait la résolution DNS pour les noms de domaines définis par les utilisateurs.
• Nouvelles fonctionnalités pour la stratégie de règles de pare-feu :
• Les règles du pare-feu sont bien plus flexibles : une règle unique peut désormais contenir
plusieurs applications (contre une seule précédemment), plusieurs réseaux (contre un
seul précédemment), un réseau local et un réseau distant (contre un réseau distant
précédemment) et un type de support réseau privé virtuel (VPN) en plus des supports
filaire et sans fil.
• Les groupes selon la connexion sont désormais de simples groupes de pare-feu contenant
des informations sur les emplacements et des calendriers associés à des accès limités
en temps.
• La mise en correspondance des exécutables des applications s'effectue désormais par
chemin d'accès, hachage, signature numérique ou description de fichiers, pour les règles
de pare-feu, et non plus uniquement par chemin d'accès et hachage.
9
Général
• Les stratégies Options de blocage d'applications et Règles de blocage d'applications sont
supprimées et leur fonctionnalité est remplacée par deux signatures de contenu (6010 et
6011) dans la stratégie de règles Host IPS.
• Les stratégies de pare-feu Options de quarantaine et Règles de quarantaine sont supprimées
et l'option de démarrage de quarantaine est déplacée vers une option de protection au
démarrage des Options de pare-feu.
• Un nouveau catalogue Host IPS permet d'organiser et de réutiliser les composants de stratégie
courants, notamment les groupes de pare-feu, les règles, les emplacements, les exécutables
et les réseaux.
• Un ensemble standard unique de caractères génériques est utilisé avec le produit.
• Les journaux sont placés dans un dossier commun et certains sont simplifiés pour faciliter
leur lecture.
Plates-formes prises en charge
• Parité complète des fonctionnalités sur les plates-formes Windows 32 et 64 bits.
• Ajouté : prise en charge de Windows 7, Linux SUSe10 SP3, SUSe 11 et des zones Solaris
• Supprimé : Windows 2000, Solaris 8 et SUSe Linux 9
Prise en charge SQL
• Ajouté : SQL 2005, SQL 2008
• Supprimé : SQL 2000
Extension/fonctionnalité client
• Deux versions de Host Intrusion Prevention 8.0 : une version avec pare-feu uniquement et
une version complète contenant la protection IPS et la protection par pare-feu.
• Compatibilité de l'extension Host IPS avec les versions 4.0, 4.5 et 4.6 d'ePolicy Orchestrator.
• Possibilité d'installer l'extension Host IPS 8.0 dans ePolicy Orchestrator même avec des
versions antérieures de Host IPS.
• L'extension Host IPS 8.0 gère uniquement les clients Host IPS 8.0 et ne peut pas prendre
en charge les versions précédentes du client.
• Les protections IPS et de pare-feu sont désactivées sur le client après l'installation initiale
et nécessitent l'application d'une stratégie pour être activées.
• Sur toutes les plates-formes, il est possible de migrer de la version d'évaluation vers la
version sous licence à partir d'ePolicy Orchestrator, sans réinstaller le client.
10
Meilleures pratiques pour une réussite rapide
McAfee Host Intrusion Prevention apporte une réelle valeur ajoutée à votre organisation :
réduction de la fréquence et de l'urgence des corrections de programme, préservation de la
continuité de l'activité et de la productivité des salariés, protection de la confidentialité des
données et prise en charge de la conformité aux réglementations. Cette solution offre la
protection d'un système de prévention des intrusions (IPS) basé sur les signatures et l'analyse
comportementale et s'accompagne d'un pare-feu dynamique, pour protéger tous les postes
clients (postes de travail, ordinateurs portables et serveurs) des menaces connues et inconnues.
Mise en route
Tout ce qui concerne les utilisateurs et les applications stratégiques de l'entreprise doit être
déployé avec précaution pour éviter les interruptions d'activité. Nous allons détailler le
déploiement d'un produit par étapes faciles à gérer, augmentant petit à petit les niveaux de
protection, autorisant le paramétrage des stratégies pour tenir compte des nuances du métier
et minimisant les modifications pour l'utilisateur. Cette approche, lente mais sûre, offre les
avantages d'une protection maximale et d'un effort administratif minimal sur une période pouvant
aller d'un à trois mois.
Si vous avez acheté la protection IPS ainsi que la protection par pare-feu, il est conseillé de
démarrer par la fonction IPS, sauf si des raisons liées aux réglementations ou aux risques font
du pare-feu votre priorité. La fonction IPS offre une protection stratégique et universelle contre
les menaces connues et les menaces de type « jour zéro ». Grâce aux paramètres de stratégie
prédéfinis de McAfee et à un petit investissement en temps, vous pouvez rapidement mettre
en place McAfee Host Intrusion Prevention sur vos systèmes pour les protéger des vulnérabilités
et des attaques.
Si vous avez bien activé la protection IPS, vous pouvez vous charger tranquillement de l'activation
du pare-feu. La stratégie de pilotage décrite ici s'applique au déploiement du pare-feu bien que
les stratégies spécifiques, les réponses en réaction et les règles puissent varier.
REMARQUE : si vous avez acheté uniquement la protection par pare-feu ou que vous préférez
tout simplement commencer par le déploiement du pare-feu, procédez comme indiqué mais
consultez le Guide Produit ou l'aide pour en savoir plus sur la définition et l'activation des
stratégies du pare-feu. Le déploiement doit se faire par étapes, dans l'ordre suivant :
• IPS sur les ordinateurs portables et les postes de travail standard
• IPS sur les serveurs critiques
• IPS sur les postes de travail des utilisateurs avec pouvoir
• Pare-feu sur les portables
• Pare-feu sur les serveurs
• Pare-feu sur les postes de travail des utilisateurs avec pouvoir
La plupart des administrateurs peuvent réaliser les étapes décrites. Le cas échéant, contactez
les partenaires et professionnels des services McAfee pour qu'ils vous aident.
11
L'ordre recommandé implique les sept étapes suivantes :
1
Stratégie et planification
2
Préparation de l'environnement
3
Installation et configuration
4
Paramétrage initial
5
Mode adaptatif optionnel
6
Protection améliorée et paramétrage avancé
7
Maintenance et développement au-delà d'IPS
Le même processus de déploiement s'applique aux postes de travail et aux serveurs. Des points
de départ et des réglages de phases de protection plus prudents sont cependant recommandés
pour les postes de travail et les serveurs stratégiques plus complexes des utilisateurs avec
pouvoir.
Synchronisation et attentes
Pour un déploiement réussi, une frustration minimale et une limitation des risques maximale,
le processus de mise en œuvre peut durer entre un et trois mois. Le travail « pratique » ne
dure que quelques jours sur cette période mais il est primordial que des intervalles de temps
s'écoulent entre les différentes étapes afin que le produit puisse recueillir les données d'usage
qui permettent de guider le paramétrage.
La variable la plus importante de la mise en œuvre est la gamme des systèmes et des profils
d'utilisateurs qui constituent votre site. Plus la communauté d'utilisateurs est diversifiée, plus
la mise en œuvre de McAfee Host Intrusion Prevention sur les systèmes ciblés sera longue.
Vous devez activer les protections sans entraver la productivité des utilisateurs et la fonctionnalité
des applications. Chaque système et profil d'utilisateur significatif mérite que vous réalisiez un
paramétrage et des tests.
De nombreux environnements nécessitent l'approbation de la direction de l'informatique pour
le déploiement, la migration vers un mode de blocage et l'utilisation du pare-feu. Vous devez
compter du temps supplémentaire pour obtenir ces approbations.
REMARQUE : pour en savoir plus sur un aspect de ce processus, consultez le Guide Produit de
McAfee Host Intrusion Prevention 8.0 ou l'aide correspondante.
Tableau 2 : Pièges potentiels et solutions
Liste des choses à ne pas faire
Meilleures pratiques recommandées
Bloquer les signatures à gravité moyenne et élevée sans
consulter les informations issues de la journalisation
Commencez par bloquer les signatures à gravité élevée
uniquement. Ce niveau protège des vulnérabilités
principales mais génère quelques événements à tort. Les
signatures de niveau moyen agissent sur les
comportements et nécessitent généralement au moins un
paramétrage pour limiter le nombre d'appels d'assistance.
Considérer que tous les systèmes vont utiliser les mêmes Séparez les postes de travail pour rendre compte des
stratégies
applications et des privilèges. Commencez par les systèmes
les plus simples et créez des profils d'usage standard pour
les groupes principaux. Ajoutez progressivement les
utilisateurs et les profils d'usage, à mesure que
l'apprentissage est effectué.
Réaliser trop peu de tests sur l'expérience de l'utilisateur Choisissez quelques groupes d'utilisateurs importants,
effectuez un pilote avec des utilisateurs représentatifs qui
s'engagent à fournir un retour, vérifiez que les applications
fonctionnent correctement et réalisez un vaste déploiement
12
1. Stratégie
Liste des choses à ne pas faire
Meilleures pratiques recommandées
lorsque vous êtes certain que les stratégies fonctionnent
sans interrompre la productivité. Vous souhaitez donner
une bonne première impression aux utilisateurs.
Considérer que Host IPS fonctionne avec une configuration Contrairement aux antivirus, il est nécessaire d'assurer
initiale unique
une surveillance et une maintenance régulières pour
maintenir la précision et l'efficacité de la protection.
Prévoyez du temps pour examiner les journaux et mettez
à jour les règles au moins une fois par semaine, lorsque
le déploiement est terminé.
Activer simultanément IPS et le pare-feu
Commencez par IPS, puis ajoutez le pare-feu, au besoin.
Vous apprendrez à créer des stratégies et serez plus à
l'aise avec les types de protection appropriés. Vous pourrez
ainsi plus facilement lier les modifications aux résultats.
Laisser les fonctions Host IPS et les fonctions du pare-feu Utilisez le mode adaptatif sur de courtes périodes, lorsque
en mode adaptatif, de manière indéfinie
vous avez le temps de surveiller les règles qui sont créées.
Bloquer immédiatement tous les éléments que le système Prenez le temps de vérifier que le trafic que vous voyez
détecte comme des intrusions
est réellement malveillant. Utilisez des captures de
paquets, un IPS réseau ou tout autre moyen dont vous
disposez.
1. Stratégie
2. Préparation d'un environnement pilote
3. Installation et configuration
4. Réalisation du paramétrage initial
5. Activation du mode adaptatif (optionnel)
6. Affinage du paramétrage
7. Maintenance et développement
1. Stratégie
La première étape de votre processus de paramétrage est de vous placer du point de vue de
la stratégie de protection de votre système. Définissez des objectifs réalistes et créez un plan
de pilote et de déploiement à respecter.
Définitions des priorités du pilote
Vérifiez que vous avez bien compris vos objectifs de sécurité pour les aligner sur le processus
du pilote. Vous allez identifier quelques problèmes spécifiques à bloquer immédiatement, voire
définir une période de surveillance générale pour en savoir plus sur ce qui se passe au sein de
la communauté des clients. Chaque organisation choisit l'équilibre qui lui convient entre la
protection et la productivité. Des priorités bien définies dès le début permettent de rationaliser
le processus.
Posez-vous les questions suivantes :
• Quels sont les zones spécifiques d'exposition à la sécurité ou les incidents récents repérés
au cours des audits ?
• Quels sont les systèmes les plus vulnérables ?
• Les ordinateurs portables doivent-ils constituer une priorité ?
13
1. Stratégie
• Les réglementations impliquent-elles que je doive réduire les vulnérabilités dans une
communauté d'utilisateurs ou un groupe de systèmes clé ?
Pour de nombreux clients, les vulnérabilités les plus importantes concernent les ordinateurs
portables, qui sortent régulièrement de l'environnement contrôlé de l'entreprise. Ces systèmes
constituent d'excellentes premières cibles pour IPS. Certains clients souhaitent renforcer la
protection des serveurs clés. Il est conseillé de piloter ces systèmes stratégiques à un rythme
plus lent et plus prudent. Notez vos objectifs clés. Les étapes suivantes vous aideront à définir
vos priorités.
Définition de l'environnement pilote
Choisissez un petit ensemble de systèmes pilotes et d'effectuer des tests dessus. Si vous
sélectionnez 100 nœuds au plus sur trois sous-réseaux, vous serez en mesure d'évoluer
progressivement vers des niveaux de protection plus élevés. Un développement par étapes
vous permet de gérer de manière fiable les problèmes éventuels.
Identifiez les principales classes de systèmes et intégrez-les de manière sélective dans votre
pilote. Host IPS peut prendre en charge les éléments suivants, dans l'ordre croissant de
complexité de mise en œuvre :
• Les postes de travail et les ordinateurs portables normalisés des utilisateurs, sur lesquels
les utilisateurs généraux ne disposent pas de privilèges d'administrateur pour installer ou
supprimer des applications sur le système. Vous pouvez créer plusieurs profils d'utilisateur,
chacun associé à un environnement d'application standard défini.
• Les postes de travail et les ordinateurs portables personnalisés des utilisateurs avec pouvoir,
sur lesquels les utilisateurs initiés disposent des privilèges d'administrateur nécessaires pour
installer leurs propres applications. Les administrateurs et les développeurs de logiciels sont
des utilisateurs avec pouvoir. De temps en temps, les privilèges d'administrateur apparaissent
comme un artefact de l'activité de l'entreprise. Idéalement, ces privilèges doivent être
supprimés sur tous les systèmes qui ne nécessitent pas de contrôle administratif, afin de
réduire la gamme des types de système qui sont à profiler et à paramétrer.
• Les serveurs qui utilisent une base de données dédiée, le Web, les e-mails ou d'autres
applications, ainsi que les serveurs d'impression et de fichiers.
Laboratoire ou monde réel ?
De nombreuses entreprises considèrent que les tests en laboratoire constituent une étape
standard de l'installation d'un nouveau produit. Elles réalisent des images des machines de
production et testent ces images dans un environnement contrôlé avant de procéder au
déploiement.
Grâce à McAfee Host Intrusion Prevention, cette approche fournit la référence de règles initiale
la plus rapide mais aussi la moins efficace, car elle ne tient pas compte de la variable utilisateur.
Les testeurs imitent artificiellement le comportement des utilisateurs donc ils ne sont pas en
mesure de capturer des détails réels concernant les activités légitimes. Les utilisateurs et les
logiciels malveillants (malwares) trouvent toujours des cas d'utilisation originaux qui génèrent
des événements devant être pris en charge immédiatement ou qui échappent à la détection
car ils ont été involontairement autorisés comme des exceptions d'un « comportement normal ».
Ces deux résultats prennent du temps et peuvent créer des problèmes ultérieurement.
La majorité de l'apprentissage s'effectue dans des systèmes opérationnels au sein d'un
environnement de production. Les meilleurs tests de production impliquent des systèmes triés
sur le volet et des utilisateurs objectifs réalisant des tâches quotidiennes. Cette approche permet
de constituer la référence la plus fiable car ce sont les vrais utilisateurs qui manipulent les
14
1. Stratégie
systèmes et les applications. De plus, ils peuvent fournir un retour immédiat sur l'impact des
modifications.
La combinaison des deux modèles est un bon compromis. Une période de tests en laboratoire
vous permet de construire la confiance et de vous familiariser avec les processus et les stratégies
de McAfee Host Intrusion Prevention. Après le test de quelques profils d'usage, ces profils
peuvent être déplacés vers un pilote sur les systèmes de production. Toute activité ou application
manquée dans les tests en laboratoire peut ensuite être repérée dans le pilote de production.
Ce processus en deux étapes convient tout à fait aux organisations prudentes.
CONSEIL : les administrateurs doivent bénéficier d'un accès physique facile aux systèmes pilotes,
ce qui exclut du groupe pilote de départ les bureaux sans personnel et les particuliers.
Garantie d'une représentation utilisateur appropriée
Après avoir pris connaissance des types de système, identifiez les profils d'usage et les systèmes
de votre pilote. Intégrez plusieurs types d'utilisateur pour effectuer une analyse transversale
de votre communauté d'utilisateurs cible potentielle. Cette gamme étendue vous permet de
créer des règles et des stratégies représentatives des besoins et des usages habituels de
l'entreprise. Au sein d'un centre d'appels ou d'un centre d'assistance normalisé, vous trouvez,
entre autres, des gestionnaires, les personnes chargées du soutien de première ligne et celles
chargées du soutien de fond. Veillez à bien inclure au moins un profil d'usage de chaque type
afin que McAfee Host Intrusion Prevention prenne connaissance du large éventail d'utilisations
et établisse les stratégies en conséquence.
Option 1 de la stratégie de déploiement : démarrer simplement
Pour une mise en œuvre rapide des protections initiales et une courbe d'apprentissage moins
stressante des protections avancées, il est recommandé d'activer la protection de base sur les
postes de travail et les ordinateurs portables normalisés, puis d'activer la journalisation sur les
postes de travail et les serveurs des utilisateurs avec pouvoir.
Pour commencer, activez la protection en appliquant la stratégie Options IPS avec la protection
IPS sélectionnée, puis appliquez la stratégie de base Règles IPS McAfee Default. Cette
stratégie bloque les activités qui déclenchent des signatures dont le niveau de gravité est élevé.
Elle ne requiert aucun paramétrage et génère peu d'événements. Ses paramètres sont les
suivants :
• Les activités qui déclenchent des signatures à gravité élevée sont bloquées et toutes les
autres signatures sont ignorées.
• Les applications McAfee sont répertoriées comme applications approuvées pour toutes les
règles, sauf pour les règles d'auto-protection d'IPS. En tant qu'applications approuvées, elles
fonctionnent sans générer d'événements d'exception.
• Les applications et processus prédéfinis sont protégés.
Bien que les marques et les modèles des ordinateurs soient différents, les variations restent
relativement légères. Une expérience riche permet à la fonction IPS de couvrir les problèmes
dont la gravité est élevée, et ce, avec une grande précision. Ainsi, McAfee a montré que 90 %,
voire plus, des problèmes liés au jour de publication des patchs mensuels Microsoft (Patch
Tuesday) étaient réparés à l'aide du niveau de base d'une protection prête à l'emploi. L'activation,
ne serait-ce que de la protection par défaut, apporte une valeur ajoutée immédiate et
considérable.
Cette stratégie de démarrage simple est fortement recommandée. Les serveurs sont les systèmes
les plus stratégiques à protéger. Ce sont également les plus épineux. Le déploiement nécessite,
dans leur cas, une vigilance accrue, car les règles IPS doivent inévitablement être ajustées pour
autoriser le fonctionnement des opérations légitimes et rendre compte des performances
15
1. Stratégie
minutieuses et de l'optimisation du système de la plupart des serveurs. Le paramétrage des
règles par tâtonnements peut s'avérer dangereux sur les systèmes informatiques opérationnels
stratégiques.
De même les systèmes des utilisateurs avec pouvoir ont tendance à présenter une diversité
d'applications et de privilèges spéciaux, notamment le droit d'exécuter des scripts. L'activation
d'IPS peut générer un grand nombre d'événements qui doivent être examinés attentivement
pour garantir une autorisation ou un blocage approprié. La compréhension de l'usage légitime
des utilisateurs avec pouvoir et des serveurs nécessite que vous y consacriez plus de temps.
Surveillance et journalisation
Simultanément à l'augmentation de la confiance pendant le pilote, vous pouvez déplacer les
signatures de la journalisation pour activer la mise en œuvre par classe de système, le
paramétrage des règles et l'affinage des stratégies au fur et à mesure que vous apprenez quelles
activités sont légitimes. Ce processus sera décrit plus loin dans ce guide.
Lorsque vous activez la protection de base sur les systèmes de vos postes de travail standard,
vous pouvez également commencer la journalisation des problèmes à gravité moyenne sur ces
mêmes systèmes. Cette surveillance vous permet de découvrir les autres événements qui seront
repérés par la fonction IPS lorsque vous exécutez les contrôles de manière plus stricte. En mode
de journalisation, vous pouvez consulter le volume d'utilisation, ainsi que les types d'utilisation,
ce qui vous permet d'en savoir davantage sur le comportement du système. Dans cette première
phase, la journalisation est recommandée pour vous éviter les surprises et les interruptions de
service. Il est judicieux de consigner les événements sur une période d'activité complète, pendant
un mois voire un trimestre entier, pour connaître la gamme complète des applications et des
activités. Pour que cette opération s'effectue automatiquement, utilisez la stratégie Préparer
pour la protection améliorée. Ce paramètre bloque les signatures à gravité élevée, consigne
celles à gravité moyenne et ignore le reste.
Pour les autres systèmes, serveurs et postes de travail d'utilisateur avec pouvoir, activez la
surveillance et la journalisation pour les niveaux de gravité moyen et élevé. Aucun paramètre
par défaut ne permet de consigner à la fois les niveaux moyen et élevé. Vous devez donc
dupliquer une stratégie existante et la personnaliser. L'observation des événements à gravité
moyenne ou élevée uniquement vous permet d'obtenir un nombre considérable d'informations
pertinentes, sans pour autant vous noyer dans les détails. Vous découvrirez ainsi les variations
des systèmes où les plates-formes des serveurs sont paramétrées pour chaque instance
d'application spécifique et où les développeurs possèdent leurs outils préférés et leurs
compilateurs obscurs à disposition.
CONSEIL : l'activation de la surveillance et de la journalisation ne devrait pas affecter le
fonctionnement des systèmes ou des applications mais il est toujours plus prudent d'observer
les systèmes de près lorsque McAfee Host Intrusion Prevention fonctionne, même en mode de
journalisation uniquement. Le fonctionnement du produit sollicite un faible niveau d'interaction
avec les applications et les systèmes d'exploitation. Il est cependant toujours susceptible d'avoir
des conséquences sur les performances ou sur certaines applications.
Planification du développement
Simultanément à l'augmentation de la confiance pendant le pilote, vous pouvez déplacer les
signatures de la journalisation pour activer la mise en œuvre par classe de système, le
paramétrage des règles et l'affinage des stratégies au fur et à mesure que vous apprenez quelles
activités sont légitimes. Ce processus sera décrit plus loin dans ce guide.
16
Option 2 de la stratégie de déploiement : utilisation des stratégies par défaut
Pour certains environnements, une approche légitime serait de tirer profit de l'expertise de
McAfee, contenue dans les paramètres par défaut, et de déployer le profil de protection de base
sur tous les systèmes. Cette approche fonctionne bien pour les utilisateurs qui souhaitent
bénéficier de la protection principale d'IPS sans paramétrage ni effort. Si vous n'avez pas acheté
le produit pour IPS, cette stratégie offre un déploiement avec un effort minimal qui active
immédiatement la protection contre les attaques importantes.
Choix de l'option
L'option 1 vous permet de tirer la meilleure protection de votre investissement IPS. L'option 2
offre une stratégie fiable et légère. Choisissez celle qui convient le mieux à votre situation en
termes de risques.
Après avoir défini vos priorités, vos objectifs et votre stratégie de protection, vérifiez que votre
environnement respecte les conditions préalables techniques et supprimez tout problème sur
le système avant de procéder à l'installation. Ce travail de préparation vous permet de vous
concentrer sur le déploiement d'IPS et d'éviter les écarts éventuels qui ne sont pas liés à cette
fonction.
Installation ou mise à jour de McAfee ePolicy Orchestrator et Agent
Avant d'installer McAfee Host Intrusion Prevention, vérifiez que le serveur ePolicy Orchestrator
est bien installé et installez McAfee Agent sur les hôtes cibles.
Vous devez être familiarisé avec la mise en œuvre des stratégies avec ePolicy Orchestrator afin
d'utiliser correctement McAfee Host Intrusion Prevention. Si vous n'avez jamais créé de stratégie
à l'aide d'ePolicy Orchestrator, consultez la documentation ePolicy Orchestrator.
Pourquoi ePolicy Orchestrator ?
McAfee Host Intrusion Prevention nécessite l'utilisation d'ePolicy Orchestrator, car son
déploiement s'appuie sur des stratégies et des règles spécifiques à l'organisation qui sont
régulièrement ajustées pour suivre les variations de l'activité de l'entreprise et de la communauté
d'utilisateurs. McAfee Host Intrusion Prevention tire parti de l'infrastructure avérée d'ePolicy
Orchestrator, qui permet d'augmenter la cohérence de l'application des stratégies, de réduire
les erreurs et d'améliorer la visibilité et le contrôle de l'administrateur.
17
Présentation du processus :
Figure 2 : Installation et maintenance de Host Intrusion Prevention avec ePolicy Orchestrator
• Le serveur ePO fonctionne avec McAfee Agent sur chaque hôte pour installer le client IPS
sur les systèmes cibles.
• La création et la maintenance des stratégies IPS s'effectuent au sein de la console ePO.
• Le serveur ePO transmet les stratégies à l'agent sur le système hôte.
• L'agent transmet les stratégies au client IPS.
• Le client IPS met en œuvre les stratégies et génère des informations sur les événements
qui sont ensuite transmises à l'agent.
• L'agent renvoie les informations des événements à ePolicy Orchestrator.
• A des intervalles planifiés ou à la demande, le serveur ePO extrait le contenu et les mises à
jour des fonctionnalités depuis le référentiel McAfee, tandis que l'agent les extrait du serveur
pour mettre à jour le client IPS.
• A mesure que les stratégies sont modifiées, elles sont extraites par l'agent pour mettre à
jour le client IPS.
Utilisation du serveur ePO pour configurer les profils d'usage et les clients
Pour chaque type d'usage (serveurs web, ordinateurs portables, bornes interactives), créez un
profil d'usage ePO différent. Vous finirez par associer ces profils à des stratégies IPS spécifiques
18
et il sera plus pratique pour vous que les profils soient en place à l'avance lorsque vous
commencerez à gérer les exceptions.
Regroupez les clients de manière logique. Les clients peuvent être regroupés selon n'importe
quel critère correspondant à la hiérarchie de l'arborescence des systèmes ePO. Par exemple,
vous pouvez regrouper un premier niveau de clients par emplacement géographique et un
deuxième par plate-forme de système d'exploitation ou par adresse IP. Il est recommandé de
regrouper les systèmes selon les critères de configuration de McAfee Host Intrusion Prevention,
notamment le type de système (serveur ou poste de travail), les applications clés (Web, base
de données ou serveur de messagerie) et les emplacements stratégiques (zone démilitarisée
[DMZ] ou Intranet).
CONSEIL : le serveur ePO autorise le marquage logique des systèmes. Les marqueurs
s'apparentent à des étiquettes qu'il est possible d'appliquer manuellement ou automatiquement
à des systèmes. Il est possible de classer les systèmes dans des groupes pilotes sur la base de
marqueurs et d'utiliser ces marqueurs en guise de critères pour la génération de rapports.
La convention d'appellation est importante. Idéalement, vous devez établir une convention
d'appellation simple que quiconque pourrait déchiffrer. Les clients sont identifiés par nom dans
l'arborescence des systèmes, dans certains rapports et dans les données d'événement générées
suite aux activités effectuées sur le client.
Vérification de la santé des systèmes pilotes
Maintenant que vous avez identifié les clients, vérifiez qu'il n'existe aucun problème sur le
système susceptible d'interrompre le déploiement. Examinez les fichiers de journaux
correspondant au serveur ePO, ainsi que les journaux d'événements système. Recherchez les
erreurs ou les défaillances qui indiquent toute configuration inappropriée ou anomalie du système
nécessitant d'être réparée avant l'installation de McAfee Host Intrusion Prevention. Les quelques
éléments clés suivants méritent votre attention :
• Niveaux des patchs : êtes-vous certain que tous les pilotes et applications sont à jour ?
Les supports et les lecteurs audio anciens, Internet Explorer et les pilotes des cartes réseau
sont réputés pour créer des incohérences qui entraînent l'échec du déploiement. Appliquez
les derniers patchs et correctifs.
• Logiciel incompatible : existe-t-il d'autres applications de détection d'intrusion ou de
pare-feu en cours d'exécution sur l'hôte ? Vous devez les désactiver ou les supprimer.
• Accès administratif : vous devez disposer des droits d'accès administrateur sur le système.
Vérifiez également si l'utilisateur dispose de l'accès administrateur. Pourquoi ? Les utilisateurs
peuvent déstabiliser le processus de test s'ils installent une nouvelle application pendant le
test. Si vous ne pouvez pas supprimer l'accès administrateur des utilisateurs, vous pouvez
placer ce système dans un profil d'usage différent, comme utilisateur avec pouvoir.
• Considérations organisationnelles : certains systèmes nécessitent une attention toute
particulière, car ils utilisent une langue différente, des applications spécifiques à un
emplacement géographique ou des applications internes à l'entreprise. Mettez ces systèmes
de côté jusqu'à la deuxième étape du déploiement ou excluez les applications spécialisées
de la protection IPS en attendant de trouver le temps de consigner et d'analyser leur
comportement.
Sur le serveur ePO, installez l'extension Host IPS qui fournit l'interface vers la gestion des
stratégies Host IPS. Importez le client Host IPS dans le référentiel ePO.
19
Recherchez des patchs ou des articles dans la base de connaissances sur le site McAfee Service
Portal (https://mysupport.mcafee.com/Eservice/Default.aspx). Téléchargez le contenu mis à
jour sur le site http://www.mcafee.com/us/downloads/.
Définition initiale des niveaux de protection et des réponses
Définissez ou associez des niveaux de protection pour chaque profil d'usage. Si vous effectuez
une stratégie « le plus simple d'abord », activez la protection de base pour les profils d'usage
de votre poste de travail standard. Pour en savoir plus, reportez-vous aux sections Configuration
des stratégies IPS ou Configuration des stratégies de pare-feu du Guide Produit.
Affinage des stratégies de ligne de base (optionnel)
Certains administrateurs parviennent à coincer les défauts de la protection immédiatement,
avant de démarrer le déploiement. Vous pouvez protéger automatiquement les applications à
haut risque (notamment celles qui se lancent en tant que services ou ouvrent des ports de
réseau) et les applications internes. Les applications développées en interne sont généralement
exclues d'IPS dès le début du déploiement, en particulier si elles « guettent » les connexions
réseau. Les développeurs de logiciels internes ne sont probablement pas aussi rigoureux que
les développeurs du marché lorsqu'ils programment des comportements attendus et sécurisés.
Par exemple, un programme lié à Internet Explorer risque de déclencher involontairement une
signature de protection Internet Explorer si le programme se comporte mal. Dans la mesure
où les applications développées en interne ne sont pas des cibles d'attaques fréquentes, elles
présentent un risque d'exploit plus faible.
Pensez à ajouter les adresses IP de vos analyseurs de vulnérabilités à la liste de vos réseaux
approuvés. Votre instance d'ePolicy Orchestrator et vos stratégies de sécurité existantes peuvent
également vous aider à identifier les activités évidentes qui doivent être bloquées ou autorisées
pour des profils d'usage individuels. Enfin, vous pouvez utiliser le mode adaptatif pour définir,
de manière sélective, des règles pour les applications exclues et mettre en œuvre la protection.
Cette étape peut être réalisée lorsque vous avez établi des protections de ligne de base et que
vous êtes à l'aise avec les signatures et les stratégies IPS.
Avis aux utilisateurs et planification de remplacements
Avant l'activation de protection IPS, indiquez aux utilisateurs qu'ils sont sur le point de recevoir
une nouvelle protection et qu'ils peuvent, dans certains cas, remplacer le système. Cette
communication permet de réduire le risque perçu sur la productivité de l'utilisateur,
particulièrement importante pour les utilisateurs en déplacement munis d'ordinateurs portables.
Pour remplacer le blocage IPS de l'utilisateur, l'administrateur doit fournir aux utilisateurs les
éléments suivants :
• un mot de passe à durée limitée ;
• des instructions pour désactiver les fonctions. ;
• la possibilité de supprimer Host IPS, si nécessaire.
Ne distribuez pas ces solutions de manière trop généreuse : vous ne souhaitez pas que les
utilisateurs sapent le déploiement. Deux d'entre elles sont éliminées ultérieurement dans le
pilote. Pour en savoir plus, consultez la section Définition des fonctionnalités du client du guide
produit.
Engagement des membres de l'équipe d'assistance
Faites savoir à votre centre d'assistance que vous êtes sur le point d'activer Host IPS. Bien que
peu de problèmes soient attendus, le centre d'assistance doit être préparé à reconnaître les
indices pouvant apparaître lorsque la protection IPS est activée.
20
Installation de Host IPS sur les hôtes pilotes
Commencez doucement. Installez d'abord quelques clients, puis élargissez vers un plus grand
nombre de systèmes, avec des incrémentations plus importantes, à mesure que la confiance
grandit. Démarrez par 1, puis passez à 10, 20, 50 et plus de 100 systèmes. L'ordre du
déploiement doit être le suivant :
1
Vérifiez que les hôtes cibles sont sous tension, qu'ils sont connectés au réseau et qu'ils
communiquent avec ePolicy Orchestrator.
2
Utilisez une tâche de déploiement ePO pour diffuser les agents Host IPS sur un petit
ensemble d'hôtes, au sein du groupe pilote.
3
Validez la réussite de l'installation. Réalisez le dépannage et quelques ajustements, le cas
échéant.
4
Développez vers un plus grand nombre de systèmes.
A mesure que l'installation avance, vérifiez les systèmes pilotes pour garantir que le nouveau
logiciel fonctionne correctement et recherchez, dans les journaux ePO, des événements du
serveur et des effets majeurs sur les performances du réseau. Quelques problèmes peuvent
ressortir. C'est pour cela qu'il est important de réaliser un pilote et un déploiement lent. Procédez
comme suit :
1
Vérifiez que les services Host IPS (FireSvc.exe, mfefire.exe, mfevtp.exe) et le service
Framework (McAfeeFramework.exe) sont activés.
2
Très important ! Exécutez les applications simples (outils dédiés à la comptabilité, au
traitement de texte, aux e-mails, à l'accès Internet, au multimédia ou au développement)
pour vérifier qu'ils fonctionnent correctement. Vos utilisateurs peuvent-ils exécuter leurs
tâches standard ? Vous cherchez à démontrer et à valider le bon fonctionnement de la
détection.
3
Si vous observez des problèmes sur le client, vous pouvez consulter les journaux du client
IPS et ceux du système d'exploitation du client pour rechercher les erreurs. Reportez-vous
à la section Utilisation des Clients Host Intrusion Prevention du Guide Produit.
4
Répétez ces étapes pour développer vers plus de systèmes, jusqu'au remplissage du groupe
pilote.
CONSEIL : n'oubliez pas d'effectuer des tests après chaque installation ou modification de
stratégie pour vérifier que les utilisateurs finaux sont en mesure de travailler dans de bonnes
conditions. Un test est le moyen le plus efficace pour garantir la réussite d'un déploiement.
Une fois que votre groupe pilote est sur pied et fonctionne, vous n'avez plus qu'à attendre et
observer. Les événements nécessitent entre deux et sept jours pour s'accumuler. Restez réceptif
aux appels d'assistance.
Surveillance quotidienne
Prenez quelques minutes, chaque jour, pour examiner les journaux des événements IPS et
surveiller les volumes et les types d'activité. En adoptant cette discipline, vous réussirez à vous
créer une référence de base des niveaux opérationnels habituels et des modèles d'activité. Par
exemple, grâce à la surveillance quotidienne, vous pourrez faire ressortir les processus réguliers
et les niveaux d'activité de la maintenance des serveurs et des mises à jour des applications.
Grâce à cette connaissance des activités, vous pourrez rapidement identifier toute activité
inhabituelle.
21
Vos analyses quotidiennes vous aident à affiner les règles, les stratégies et les exceptions, à
mesure que les nouveaux événements surviennent. Host IPS garantit un contrôle très fin car il
est capable de surveiller tous les appels système et des API, et de bloquer tous ceux qui risquent
de constituer une activité malveillante. De même que pour un système d'IPS réseau, un
paramétrage supplémentaire des règles est nécessaire occasionnellement car les applications,
les besoins de l'entreprise et les exigences des stratégies sont sujets à modification.
La maintenance continue d'un déploiement de Host IPS englobe la surveillance, l'analyse et la
réaction à des activités, la modification et la mise à jour des stratégies et l'exécution de tâches
système, notamment la configuration des autorisations des utilisateurs, les tâches serveur, les
notifications et la mise à jour du contenu. Ces activités doivent être budgétées à un niveau
opérationnel pour maintenir le bon fonctionnement et l'efficacité des fonctions IPS.
Analyse des journaux
Les données des journaux d'événements vous permettent d'affiner les stratégies pour équilibrer
entre protection et liberté d'accès aux informations et aux applications. En règle générale, cet
équilibre varie pour chaque type d'utilisateur. A ce stade, vous devez paramétrer les stratégies
manuellement depuis le serveur ePO. Pour un paramétrage automatique des stratégies, consultez
la section 5. Activation du mode adaptatif (optionnel).
Les informations relatives aux événements sont accessibles dans l'onglet Host IPS 8.0 |
Evénements, sous Rapports, dans le serveur ePO. Vous pouvez développer les détails d'un
événement, notamment le processus qui a déclenché l'événement, le moment où l'événement
a été généré et le client qui a généré l'événement. Vous recherchez des drapeaux rouges,
notamment des faux positifs ou des signatures déclenchées dont le niveau de gravité est élevé.
Vérifiez que les processus et les services sont corrects. Les applications que vous vous attendez
à voir s'exécuter doivent le faire, tandis que les autres ne doivent pas apparaître. Si vous
remarquez des événements consignés dans le journal, basés sur des activités légitimes, surtout
dans les applications développées en interne, vous pourrez résoudre ces faux positifs à l'étape
suivante.
CONSEIL : lorsque vous analysez les données répétitives consignées, il arrive que vous manquiez
des spécifications qui déclencheraient une décision différente sur une règle. Pendant les analyses
plus approfondies, faites des pauses régulières pour éviter ce problème.
Démarrage du paramétrage de la protection
Grâce aux données des journaux d'événements, vous pouvez :
• augmenter le niveau de protection des événements consignés et qui doivent être bloqués ;
• éliminer les faux positifs en fonction des activités légitimes de l'entreprise.
Pour commencer, procédez comme suit :
1
Modifiez les réactions aux signatures. Gardez à l'esprit qu'un client peut être invité à
réagir des trois manières suivantes :
• Ignorer : aucune réaction. L'événement n'est pas consigné et le processus n'est pas
bloqué.
• Consigner : l'événement est consigné mais le processus n'est pas bloqué.
• Empêcher : l'événement est consigné et le processus est bloqué.
Appliquez la réaction Empêcher aux signatures dont la gravité est élevée.
2
22
Créez des exceptions. Identifiez les événements qui indiquent un comportement légitime
et devraient être autorisés, voire autorisés et consignés.
Les règles d'exception peuvent remplacer une stratégie de sécurité, dans certaines
circonstances. Vous pouvez définir une réponse en action pour ignorer. Ainsi, les événements
ne seront plus consignés. Par exemple, une stratégie peut considérer des traitements de
script comme indésirables mais certains systèmes utilisés par vos groupes techniques
doivent effectuer de telles tâches. Créez des exceptions pour les systèmes techniques afin
qu'ils puissent fonctionner normalement, pendant que la stratégie continue de bloquer les
scripts sur d'autres systèmes. Ensuite, stockez ces exceptions dans une stratégie autorisée
par le serveur afin de couvrir uniquement le groupe technique.
Les exceptions vous permettent de limiter le nombre de faux positifs et de réduire les
transferts de données inutiles et non pertinents vers la console. Grâce à la réduction du
bruit, vous pourrez plus facilement identifier les événements importants dans votre
surveillance quotidienne.
CONSEIL : l'exception doit être la plus générique possible afin qu'elle puisse fonctionner
sur tous les systèmes identiques et sous les mêmes conditions.
3
Créez des applications approuvées.
Les applications approuvées sont des processus d'application qui sont exemptés de toutes
les règles IPS et de pare-feu. Limitez les applications approuvées pour les processus qui
engendrent tellement de faux positifs qu'il en devient difficile de créer des exceptions
paramétrées de manière précise. Les applications approuvées peuvent varier en fonction
du profil d'usage. Par exemple, vous pouvez autoriser certaines applications logicielles dans
votre service de support technique et bloquer leur utilisation dans le département financier.
Par conséquent, vous devez définir ces applications comme approuvées pour les systèmes
du support technique afin d'autoriser leur utilisation. Reportez-vous à la section Configuration
d'une stratégie Applications approuvées du Guide Produit pour en savoir plus.
4
Exécutez des requêtes.
Utilisez les requêtes pour obtenir des données sur un élément particulier et filtrer les
données en sous-ensembles. Par exemple, les événements de niveau de gravité élevé
signalés par des clients particuliers sur une période de temps spécifiée. Recherchez les
signatures les plus fréquemment signalées. S'agit-il de fonctions d'entreprise légitimes au
jour le jour qui devraient être autorisées ? Baissez le niveau de gravité pour ces signatures.
Certaines exceptions de postes de travail s'avèrent être des comportements erronés
d'applications légitimes. Vous ne devez pas autoriser ces comportements. Vérifiez que
l'application de l'utilisateur fonctionne correctement et maintenez le blocage.
CONSEIL : il est courant que des événements soient générés et bloqués sans effet visible pour
l'utilisateur ni pour le fonctionnement de l'application. Par exemple, les enveloppes VMware et
les applications Adobe adoptent régulièrement ce comportement. Vous pouvez ignorer ces
événements en toute sécurité si vous confirmez que l'expérience de l'utilisateur est inchangée.
Vous pouvez fermer une vulnérabilité, une vulnérabilité associée aux scripts intersites par
exemple, qui serait autrement exploitée.
Processus de paramétrage
Avez-vous reçu des plaintes de la part d'utilisateurs ? Communiquez directement avec eux pour
vérifier que leurs applications fonctionnent correctement. Pendant que vous prenez des décisions
sur le paramétrage pendant le pilote, procédez comme suit :
1
Modifiez les stratégies : utilisez ePolicy Orchestrator pour modifier et créer des stratégies
et des réactions.
2
Appliquez les stratégies de manière sélective : utilisez ePolicy Orchestrator pour
appliquer les stratégies aux systèmes cibles (pas automatique).
23
3
Activez les modifications : lorsque vous modifiez des stratégies Host IPS dans la console
ePO, les modifications apportées sont effectives sur les systèmes managés lors de la
communication agent-serveur suivante. Par défaut, cet intervalle a lieu toutes les 60 minutes.
Pour mettre en œuvre immédiatement les stratégies, vous pouvez envoyer un appel de
réactivation de l'agent depuis la console ePO.
4
Testez vos modifications : validez de nouveau le succès opérationnel de ces
modifications, notamment la compatibilité avec les systèmes de l'entreprise (qui autorisent
les activités légitimes). Vous constaterez que le trafic du réseau IPS est réduit et que le
nombre de faux positifs ciblés a diminué.
5
Appliquez les stratégies plus largement : si les nouvelles stratégies fonctionnent,
appliquez-les aux systèmes concernés.
6
Poursuivez la surveillance quotidienne.
Reportez-vous à la section Configuration des stratégies IPS du Guide Produit pour en savoir
plus sur l'utilisation des stratégies IPS, notamment sur la définition des réactions signatures et
la création d'exceptions et d'applications approuvées à partir d'événements. Reportez-vous à
la section Configuration des stratégies de pare-feu du Guide Produit pour en savoir plus sur
l'utilisation des stratégies de pare-feu.
Configuration des tableaux de bord et des rapports
Maintenant que vous avez mis de l'ordre et de la précision dans vos événements, vous pouvez
utiliser le serveur ePO pour améliorer l'organisation et la communication des informations IPS
et des informations du pare-feu.
• Configurez les tableaux de bord ePO pour obtenir un aperçu rapide de la conformité de
stratégie continue, des tendances des événements, des résultats de requêtes et des
problèmes. Enregistrez des tableaux de bord uniques pour rendre compte de la surveillance
quotidienne, des analyses hebdomadaires et de tout rapport de gestion.
• Configurez les notifications pour alerter des utilisateurs spécifiques lorsqu'un événement
particulier se produit. Par exemple, une notification peut être envoyée lorsqu'un événement
de gravité élevée se produit sur un serveur spécifique.
• Planifiez la génération automatique de rapports et leur envoi aux parties concernées par
e-mail.
Reportez-vous à la section Gestion de votre protection du Guide Produit pour en savoir plus sur
l'exploitation des tableaux de bord et des rapports.
Patience et observation
Surveillez les événements de manière quotidienne pendant au moins deux semaines
supplémentaires et vérifiez les appels au centre d'assistance, les anomalies et les faux positifs.
Grâce à cette stratégie de déploiement relativement prudente, le nombre de problèmes et
d'appels au centre d'assistance devrait être assez limité. Par conséquent, vous n'aurez pas
beaucoup d'ajustements à effectuer.
Veillez à bien désactiver les solutions alternatives pour empêcher les utilisateurs et les logiciels
malveillants (malwares) de contourner la protection IPS. N'autorisez ni la désactivation des
modules, ni la suppression du client Host IPS.
24
Après avoir terminé un cycle d'activité avec le logiciel en place, commencez à mettre en œuvre
des règles bien ciblées pour créer des jeux de stratégies personnalisées. Ces stratégies peuvent
être définies manuellement. Le mode adaptatif constitue cependant un outil puissant pour la
création de stratégies de règles IPS basées sur l'activité de l'hôte et ne requiert pas d'interaction
de l'administrateur. Pendant l'utilisation d'une application, une exception est créée pour autoriser
chaque action. Le mode adaptatif ne déclenche aucun événement IPS et ne bloque aucune
activité, sauf pour les exploits malveillants (signatures à gravité élevée). Les exceptions sont
consignées dans un journal par le serveur ePO en tant que règles de client IPS, afin que vous
puissiez surveiller l'avancement.
En définissant des hôtes représentatifs en mode adaptatif pendant le pilote, vous avez la
possibilité de personnaliser la configuration de chaque profil d'usage ou application. La fonction
IPS vous permet ensuite d'adopter une, plusieurs, toutes ou aucune des règles du client pour
les convertir en stratégies autorisées par le serveur. Une fois ce réglage terminé, désactivez le
mode adaptatif pour renforcer la prévention des intrusions dans le système.
Le mode de journalisation vous permet de réaliser la fréquence de chaque activité. De la même
manière, le mode adaptatif vous indique la gamme complète et le type des activités. Ces deux
outils combinés constituent une bonne référence fonctionnelle pour les activités légitimes de
votre organisation. Vous devez vous attendre à ce que certaines activités irrégulières ne soient
pas consignées pendant le cycle pilote. Préparez-vous donc à examiner les exceptions et à créer
des règles manuellement, au besoin. Par exemple, un utilisateur peut lancer une application
interne une fois tous les quatre mois et ne pas profiter des cycles des modes de journalisation
et adaptatif.
Le mode adaptatif bloque par défaut les signatures à gravité élevée donc vous pouvez l'utiliser
pour gérer à la fois les signatures à gravité moyenne et celles à gravité élevée. Cette combinaison
vous donne un bon aperçu de l'activité, sans trop de bruit.
Le mode adaptatif peut créer des règles d'exception de manière très efficace. Il est cependant
peu probable que toutes les activités d'un système donné doivent être autorisées. Si tel était
le cas, vous n'envisageriez pas de nouvelles protections. Pour cette raison, le mode adaptatif
doit être utilisé sur une période de temps limitée. Examinez chaque exception créée (il n'existe
qu'une seule instance pour chaque exception) et désactivez les règles inacceptables créées par
le mode adaptatif.
Lorsque vous appliquez le mode adaptatif, choisissez l'option de stratégie Conserver les règles
du client. Le cas échéant, les nouvelles règles sont supprimées à chaque intervalle de mise
en œuvre des stratégies et doivent être réapprises. Enfin, lorsque vous désactivez le mode
adaptatif et que vous passez à la mise en œuvre, désactivez également l'option Conserver les
règles du client et éliminez toutes les règles qui ne sont pas mises en œuvre par une stratégie
fournie par ePO.
Application du mode adaptatif
1
Appliquez le mode adaptatif sur une période spécifique (entre une et quatre semaines).
2
Evaluez les règles du client.
3
Désactivez les règles non pertinentes.
4
Sur l'onglet Règles de client IPS, déplacez les règles de client légitimes directement vers
une stratégie pour l'appliquer à d'autres clients.
5
Désactivez le mode adaptatif.
25
6
Si elle est activée, désactivez l'option Conserver les règles du client.
CONSEIL : n'oubliez pas de désactiver le mode adaptatif afin qu'aucune règle ne soit créée à
votre insu.
Meilleures pratiques
• Exécutez les clients en mode adaptatif pendant au moins une semaine afin qu'ils soient
confrontés à toutes les activités habituelles. Choisissez des périodes d'activité planifiée,
comme une sauvegarde ou un traitement de script.
• Effectuez le suivi des règles du client dans la console ePO grâce aux vues normale, filtrée
et agrégée.
• Utilisez les règles de client créées automatiquement pour définir de nouvelles stratégies,
plus détaillées, ou ajoutez les nouvelles règles aux stratégies existantes, puis appliquez les
stratégies mises à jour à d'autres clients.
• Sélectionnez l'option de stratégie Conserver les règles du client. Autrement, les règles
seront supprimées après chaque intervalle de mise en œuvre des stratégies.
• Examinez les exceptions qui ont été créées. Si vous ne pouvez pas effectuer cette vérification,
désactivez le mode adaptatif pour ne pas risquer d'autoriser des activités dangereuses.
• Activez le mode adaptatif pendant une courte période pour créer les exceptions d'une nouvelle
application et les promouvoir dans une stratégie.
Reportez-vous respectivement aux sections Configuration des stratégies IPS et Configuration
des stratégies de pare-feu du Guide Produit pour en savoir plus sur l'utilisation des stratégies
IPS et de pare-feu en mode adaptatif.
REMARQUE : le mode adaptatif autorise à la fois les activités légitimes et les activités non
légitimes. Les règles qui acceptent ces activités seront créées sans l'approbation de
l'administrateur. Seul un événement d'exception est consigné pour chaque règle créée, donc
les mêmes activités ne sont pas documentées après la création de la règle. Vous ne recevrez
qu'un seul avis et devrez donc examiner les règles et agir en conséquence afin d'éviter toute
règle inacceptable.
Maintenant que vous avez établi et paramétré des réponses de référence pour les activités,
vous pouvez commencer à augmenter les niveaux de la protection et de la mise en œuvre. Pour
cela, sélectionnez la catégorie appropriée de la stratégie Protection IPS. Ces étapes de
paramétrage peuvent être réalisées dans le cadre d'une surveillance au jour le jour, mais vous
pouvez également choisir de répéter les étapes itératives formelles du pilote. Après chaque
étape, attendez au moins deux semaines avant d'envisager des modifications supplémentaires,
de manière à vérifier que les systèmes fonctionnent correctement aux niveaux de protection
actuels.
Eléments de base pour une protection améliorée à optimale
La catégorie Protection améliorée de la stratégie de protection IPS permet de bloquer les
signatures à gravité élevée et moyenne et d'ignorer le reste, tandis que la catégorie Préparer
pour la protection améliorée de la stratégie permet de réaliser l'étape temporaire et de
consigner d'abord les niveaux de gravité moyen et élevé. N'oubliez pas que la journalisation
vous permet de recueillir des détails sur les activités qui sont concernées par l'augmentation
26
du niveau de protection. Elle peut vous guider dans la gestion précise des stratégies, tout en
limitant les surprises.
Si vous constatez que l'activité continue sans interruption, vous pouvez augmenter le niveau
de la protection. Répétez cette étape pour les autres systèmes de votre réseau. La catégorie
Protection maximale de la stratégie convient aux environnements d'exploitation les plus
dédiés et les plus difficiles. La protection maximale bloque même les signatures à gravité faible.
Elle doit donc être déployée avec précaution, après de nombreux tests. Utilisez la catégorie
Préparer pour la protection maximale pour connaître les conséquences des modifications
avant d'activer la protection maximale.
Les organisations très prudentes peuvent déployer chaque modification de niveau de protection
en tant que pilote, en suivant les étapes itératives déjà évoquées. N'oubliez pas d'activer et de
désactiver les mécanismes de sortie et le mode adaptatif avant et après les cycles de tests qui
valident les modifications.
Suite du paramétrage
Examinez les exceptions et les problèmes qui ressortent. Gérez-les comme indiqué dans l'étape
du paramétrage initial.
• Surveillez les appels d'assistance et les commentaires des utilisateurs et relevez les plaintes
ou les problèmes d'activité provoqués par des blocages d'accès, des faux positifs ou un
nouveau comportement de l'application. Ces problèmes doivent être mineurs mais de
nouvelles exigences se manifestent toujours.
• Examinez régulièrement les exceptions qui ont été générées.
• Paramétrez les stratégies en conséquence. N'oubliez pas d'utiliser le serveur ePO pour
envoyer les mises à jour des stratégies aux systèmes hôtes. Vous devez consciemment les
appliquer aux systèmes que vous souhaitez modifier.
Les étapes précédentes décrivent le processus de déploiement de base. Une fois que vous avez
déployé une protection de niveau moyen sur vos systèmes, une protection avancée du système
est mise en place. Vous devez continuer à effectuer une surveillance régulière, une mise à jour
des stratégies et une maintenance des systèmes. Vous devez également tenir compte du
développement des systèmes protégés et des améliorations à apporter aux protections pour
obtenir des stratégies plus strictes et d'autres fonctions Host IPS.
Maintenance
McAfee lance régulièrement des mises à jour de contenu pour les nouvelles signatures, ainsi
que des mises à jour de fonctions et des patchs occasionnels. Vous trouverez ci-dessous quelques
suggestions de meilleures pratiques :
• Planifiez une mise à jour régulière pour que le serveur ePO interroge le référentiel McAfee
à la recherche de mises à jour et que vos clients reçoivent ces mises à jour.
• Extrayez le contenu Host IPS sur la branche Evaluation de votre référentiel pour tester sur
un groupe pilote de systèmes, notamment si vous avez un grand nombre d'applications
personnalisées qui nécessitent un paramétrage pendant vos déploiements initiaux. Une fois
que le groupe pilote a certifié le nouveau contenu, vous pouvez le déplacer dans la partie
A jour, en vue d'un large déploiement.
27
• Planifiez des téléchargements de contenu pour vous aligner sur les « jours de publication
de patchs mensuels », notamment si vous utilisez des produits Microsoft.
• Utilisez le mode adaptatif pour profiler des systèmes spécifiques et transférer les règles du
client résultantes au serveur lorsque de nouvelles applications sont installées, étant donné
que vous êtes susceptible de ne pas disposer du temps et des ressources nécessaires pour
les paramétrer immédiatement. Vous pouvez promouvoir ces règles client dans une stratégie
nouvelle ou existante, puis appliquer la stratégie aux autres ordinateurs pour gérer le nouveau
logiciel.
• Insérez des tests IPS dans vos processus de gestion des modifications et de lancement de
logiciel. Lorsque vous êtes sur le point de déployer un patch, un service pack ou un produit
Microsoft, testez-le sur les systèmes IPS et faites-en un pilote afin que le paramétrage
approprié soit effectué avant le déploiement massif.
Développement
Selon votre organisation, choisissez l'une des options suivantes pour développer votre
déploiement. N'oubliez pas de continuer à déployer les changements lentement et délibérément
pour minimiser les interruptions des utilisateurs et diagnostiquer rapidement les anomalies. Il
vaut mieux avancer doucement mais sûrement, en évitant de faire des erreurs ou de manquer
des options de protection utiles.
Pour étendre le déploiement :
• Déployez les mêmes protections sur les systèmes supplémentaires avec les profils d'usage
testés. Il est facile de gérer le déploiement de Host IPS sur des milliers d'ordinateurs car la
plupart des ordinateurs correspondent à quelques profils d'usage. La gestion d'un déploiement
étendu se réduit à la maintenance de quelques règles de stratégies.
• Répétez le processus pour les utilisateurs avec pouvoir et les serveurs si vous n'avez piloté
que des postes de travail standardisés, à commencer par la journalisation, et tirez profit du
mode adaptatif.
• Ajoutez de nouveaux profils d'usage et communautés d'utilisateurs.
• Mettez en œuvre des règles de pare-feu. Suivez le processus pilote, mais consultez le Guide
Produit pour en savoir plus sur les spécifications des règles et du mode d'apprentissage.
28
Installation dans ePolicy Orchestrator
Cette version de Host Intrusion Prevention requiert l'installation d'une ou plusieurs extensions
dans ePolicy Orchestrator, selon la couverture de protection que vous avez achetée et la version
d'ePolicy Orchestrator que vous utilisez.
Les extensions requises sont les suivantes :
Tableau 3 : Fonction de pare-feu uniquement
Version de
McAfee ePO
Nom du fichier
Extensions requises
Fonctionnalité
4.0
HOSTIPS_8000.zip
Host Intrusion Prevention 8.0.0
Fonction de pare-feu
help_epo_103x.zip
Aide ePO
Aide ePO avec informations sur
Host Intrusion Prevention 8.0
4.5
HOSTFW_8000_45.zip Host Intrusion Prevention 8.0.0
Extension Host IPS Advanced
Fonction de réponses
automatiques*
Contenu de l'aide : hip_800_help Aide ePO avec informations sur
4.6
HOSTFW_8000_46.zip Host Intrusion Prevention 8.0.0
automatiques*
Contenu de l'aide : hip_800_help Aide ePO avec informations sur
* Valide uniquement si l'extension Host Intrusion Prevention 8.0.0 est installée.
Tableau 4 : Fonctions IPS et de pare-feu
Version de McAfee Nom du fichier
ePO
Extensions requises
Fonctionnalité
4.0
4.5
4.6
HOSTIPS_8000.zip
HostIPSLicense.zip Extension de licence Host IPS
Fonction IPS*
help_epo_103x.zip Aide ePO
HOSTIPS_8000_45.zip Host Intrusion Prevention 8.0.0
automatiques*
Extension de licence Host IPS
Fonction IPS*
Contenu de l'aide : hip_800_help
HOSTIPS_8000_46.zip Host Intrusion Prevention 8.0.0
29
Installation de l'extension
Version de McAfee Nom du fichier
ePO
Extensions requises
Fonctionnalité
automatiques*
Fonction IPS*
Contenu de l'aide : hip_800_help
* Valide uniquement si l'extension Host Intrusion Prevention 8.0.0 est installée.
Les extensions uniques à utiliser avec ePolicy Orchestrator 4.5 et 4.6 contiennent plusieurs
fichiers .zip qui sont installés comme des extensions séparées (une pour chaque type de
fonctionnalité), comme indiqué ci-dessus. Si vous avez installé Host Intrusion Prevention 8.0
sur ePolicy Orchestrator 4.0 et que vous avez procédé à la mise à niveau vers la version 4.5 ou
4.6, vous devez installer deux extensions supplémentaires : l'extension Host IPS Advanced
(HostlpsAdv.zip) et l'extension du contenu d'aide (help_hip_800.zip). Pour ce faire, il vous suffit
d'installer l'extension unique de Host Intrusion Prevention pour la version correspondante
d'ePolicy Orchestrator ou d'ouvrir l'extension unique et d'installer les extensions manquantes.
La composition de chaque zip d'extension unique est la suivante :
Tableau 5 : Contenu des extensions des zip multiples
HOSTFW_8000_45.zip
HOSTFW_8000_46.zip
HOSTIPS_8000_45.zip
HOSTIPS_8000_46.zip
•
HOSTIPS_8000.zip
•
HOSTIPS_8000_Lite.zip •
HOSTIPS_8000.zip
•
HOSTIPS_8000_Lite.zip
•
HostIpsAdv.zip
•
HostIpsAdv.zip
•
HostIPSLicense.zip
•
HostIPSLicense.zip
•
help_hip_800.zip
•
help_hip_800.zip
•
HostIpsAdv.zip
•
HostIpsAdv.zip
•
help_hip_800.zip
•
help_hip_800.zip
Table des matières
Suppression de l'extension
Pour installer Host Intrusion Prevention, ajoutez le fichier d'extension du produit dans ePolicy
Orchestrator. Procédez ainsi pour mettre à jour ou remplacer une extension Host IPS.
Avant de commencer
Si vous avez installé des extensions Host Intrusion Prevention 6.1/7.0, vous devez d'abord
mettre à jour l'extension Host Intrusion Prevention 7.0.5 avant d'installer l'extension Host
Intrusion Prevention 8.0. Vous assurez ainsi la réussite de l'installation et de la migration vers
les stratégies de la version 8.0.
Tâche
30
1
Accédez à Configuration | Extensions (ePolicy Orchestrator 4.0) ou sélectionnez Logiciel
| Extensions (ePolicy Orchestrator 4.5 et versions ultérieures).
2
Cliquez sur Installer une extension.
3
Dans la boîte de dialogue Installer une extension, indiquez le chemin d'accès au fichier
.zip de l'extension Host IPS, puis cliquez sur OK.
REMARQUE : cette opération peut prendre quelques minutes.
4
Lorsque l'extension est installée et que l'écran de synthèse apparaît, cliquez sur OK.
5
Répétez les étapes 2 à 4 pour installer les extensions supplémentaires nécessaires.
• Dans ePolicy Orchestrator 4.0, si Host Intrusion Prevention 8.0.0 et l'extension de licence
Host IPS sont installés, ils figurent dans la liste Produits managés, sous les extensions.
• Dans ePolicy Orchestrator 4.5 et 4.6, Host Intrusion Prevention figure dans la liste
Produits managés, sous les extensions, et toutes les extensions installées pour le
produit s'affichent dans le volet de droite.
Pour supprimer Host Intrusion Prevention 8.0 du serveur ePolicy Orchestrator, vous devez
supprimer ses extensions.
REMARQUE : si vous supprimez les extensions, vous supprimez toutes les stratégies ainsi que
les affectations de stratégies. Il est déconseillé d'effectuer cette opération dans le cadre d'une
procédure de dépannage, sauf si vous bénéficiez de l'aide du support technique McAfee.
• Dans ePolicy Orchestrator 4.0 : accédez à Configuration | Extensions, sélectionnez Host
Intrusion Prevention 8.0.0 (ou Extension de licence Host IPS, le cas échéant) dans
la liste Produits managés, puis cliquez sur Supprimer.
• Dans ePolicy Orchestrator 4.5 ou version ultérieure : sélectionnez Logiciel | Extensions,
puis Host Intrusion Prevention dans la liste Produits managés, puis dans la page de
gauche, cliquez sur le lien Supprimer de l'extension installée.
REMARQUE : si plusieurs extensions Host Intrusion Prevention 8.0 sont installées, vous devez
les supprimer dans l'ordre suivant :
1
2
3
Si vous supprimez l'extension de licence Host IPS puis la réinstallez, Host IPS et Network IPS
sont désactivés et doivent être réactivés manuellement dans la stratégie Options IPS.
31
Migration des stratégies
Vous ne pouvez pas utiliser les stratégies McAfee Host Intrusion Prevention version 6.1 ou 7.0
avec les clients version 8.0 sans migrer d'abord les stratégies version 6.1 ou 7.0 au format 8.0.
Host Intrusion Prevention 8.0 fournit un moyen simple pour migrer les stratégies, grâce à la
fonction Migration des stratégies Host IPS d'ePolicy Orchestrator, disponible sous
Automatisation. La migration implique la traduction et le déplacement des stratégies. Une
fois la stratégie migrée, son nom apparaît dans le catalogue des stratégies, sous la catégorie
et la fonction du produit Host IPS 8.0 correspondantes, suivi de l'indication [6.1] ou [7.0].
Toutes les stratégies sont traduites et migrées vers les stratégies correspondantes de la
version 8.0, sauf les suivantes :
• Les stratégies Options de blocage d'applications ne sont pas migrées (ces stratégies ont été
supprimées dans la version 8.0).
• Les stratégies Règles de blocage d'applications sont migrées vers des stratégies Règles IPS
nommées Accrochage d'applications et protection de l'appel <nom> [6.1 ou 7.0] (ces
stratégies ont été supprimées dans la version 8.0). Une fois que ces stratégies ont été
migrées dans les stratégies Règles IPS, la liste Règles de blocage d'applications est vide et
la liste Exceptions contient les exceptions pour toutes les applications approuvées par défaut
définies sur Approuvé pour l'accrochage d'applications. Pour utiliser cette stratégie migrée,
vous devez également affecter la stratégie Règles IPS par défaut au paramètre d'une instance
de stratégies multiples, puisqu'elle contient la liste de protection des applications la plus
récente via les mises à jour de contenu.
REMARQUE : les applications pour lesquelles l'accrochage est bloqué par les stratégies
Règles de blocage d'applications ne sont pas migrées et doivent être ajoutées manuellement
aux Règles de protection des applications dans la stratégie Règles IPS, après la migration.
• Les stratégies Options de quarantaine du pare-feu ne sont pas migrées (ces stratégies ont
été supprimées dans la version 8.0).
• Les stratégies Règles de quarantaine du pare-feu ne sont pas migrées (ces stratégies ont
été supprimées dans la version 8.0).
• Les règles du client IPS et les règles du client de pare-feu ne sont pas migrées.
REMARQUE : les affectations de stratégies sont prises en charge automatiquement lors de la
migration, sauf si l'héritage a été bloqué. Vérifiez toujours l'affectation des stratégies après leur
migration.
Scénarios de migration
La procédure de migration des stratégies vers la version 8.0 est semblable à celle des stratégies
6.1 et 7.0. Il en est ainsi pour toutes les plates-formes.
32
Pour migrer cette version de Host Intrusion
Prevention...
Vers la version 8.0, procédez comme suit...
6.1
•
Installez les extensions Host IPS 8.0 dans ePolicy
Orchestrator.
Migration des stratégies à partir des versions précédentes
Pour migrer cette version de Host Intrusion
Prevention...
7.0.x
Vers la version 8.0, procédez comme suit...
•
Migrez les stratégies 6.1 vers les stratégies 8.0 en
exécutant la fonction de migration de Host IPS 8.0.
Vérifiez les stratégies migrées et les affectations de
stratégies.
•
Déployez les clients Host IPS 8.0 pour remplacer les
clients Host IPS 6.1.
•
Déployez la dernière mise à jour de contenu sur les
•
Installez les extensions Host IPS 8.0 dans ePolicy
Orchestrator.
•
Migrez les stratégies 7.0 vers les stratégies 8.0 en
exécutant la fonction de migration de Host IPS 8.0.
Vérifiez les stratégies migrées et les affectations de
stratégies.
•
Déployez les clients Host IPS 8.0 pour remplacer les
•
Déployez la dernière mise à jour de contenu sur les
CONSEIL : si vous avez installé des extensions Host Intrusion Prevention 6.1/7.0, vous devez
d'abord mettre à jour l'extension Host Intrusion Prevention 7.0.5 avant d'installer l'extension
Host Intrusion Prevention 8.0. Vous assurez ainsi la réussite de l'installation et de la migration
vers les stratégies de la version 8.0.
Table des matières
Migration des stratégies à partir des versions précédentes
Migration des stratégies via un fichier xml
Migration des stratégies à partir des versions
précédentes
Si l'extension McAfee Host Intrusion Prevention 6.1 ou 7.0 figure toujours dans ePolicy
Orchestrator après l'installation de Host Intrusion Prevention 8.0, la manière la plus simple de
migrer toutes les stratégies existantes est d'effectuer une migration directe.
Tâche
1
Cliquez sur Automatisation | Migration des stratégies Host IPS.
2
Sous Action pour Stratégies Host IPS 6.1 dans le catalogue de stratégies d'ePO
ou Stratégies Host IPS 7.0 dans le catalogue de stratégies d'ePO, cliquez sur
Migrer.
3
Au terme de la migration des stratégies, cliquez sur Fermer.
Toutes les stratégies IPS, de pare-feu ou des fonctionnalités générales des versions 6.1
ou 7.0 sont converties en version 8.0 et leur nom est suivi de l'indication [6.1] ou [7.0].
Les stratégies Règles de blocage d'applications sont converties en stratégies Règles IPS
[6.1] ou [7.0] de protection d'accrochage d'application.
REMARQUE : si vous lancez une deuxième migration des stratégies, toutes les stratégies
du même nom précédemment migrées seront remplacées. Ce processus n'est pas sélectif
33
car toutes les stratégies 6.1 et 7.0 existantes sont migrées. Si vous souhaitez migrer les
stratégies de manière sélective, vous devez réaliser la migration via un processus de fichier
xml.
Si l'extension McAfee Host Intrusion Prevention 6.1 ou 7.0 n'est pas installée et que vous avez
précédemment exporté les stratégies uniques sélectionnées vers un fichier xml ou si vous
souhaitez migrer les stratégies de manière sélective, vous devez effectuer la migration d'un
fichier xml. Le processus implique d'exporter d'abord les stratégies 6.1 ou 7.0 au format xml,
de convertir le contenu du fichier xml dans les versions de stratégie McAfee Host Intrusion
Prevention 8.0, puis d'importer le fichier xml migré dans le catalogue de stratégies Host IPS
8.0.
Avant de commencer
Pour utiliser ce processus, un fichier xml avec les stratégies exportées doit déjà exister. Cliquez
sur Exporter sur la page du catalogue de stratégies ou la page des stratégies Host IPS
individuelles pour exporter les stratégies vers un fichier xml.
Tâche
34
1
Cliquez sur Automatisation | Migration des stratégies Host IPS.
2
Sous Action pour les stratégies Host IPS 7.0 d'un fichier xml, cliquez sur Migrer.
3
Dans la boîte de dialogue du fichier XML des stratégies, recherchez le fichier xml Host IPS
6.1 ou 7.0 à migrer, puis cliquez sur OK. Le fichier xml est converti au format de stratégie
8.0.
4
Cliquez avec le bouton droit de la souris sur le lien vers le fichier xml converti et
enregistrez-le en vue de l'importation.
5
Importez le fichier xml dans le catalogue de stratégies d'ePO. Consultez la documentation
ePolicy Orchestrator pour en savoir plus sur l'exportation et l'importation des stratégies.
Installation du client Windows
Cette section décrit la configuration requise, les propriétés et l'installation du client Windows
McAfee Host Intrusion Prevention 8.0 pour les stations de travail et les serveurs.
Table des matières
Informations sur le client Windows
Installation du client Windows à distance
Installation locale du client Windows
Application des stratégies et des mises à jour de contenu IPS
Suppression du client Windows
Cette version du client McAfee Host Intrusion Prevention 8.0 pour Windows fonctionne avec
ePolicy Orchestrator 4.0 et versions ultérieures, McAfee Agent 4.0 et versions ultérieures, et
l'extension Host Intrusion Prevention 8.0. Pour de plus amples informations sur l'installation et
l'utilisation d'ePolicy Orchestrator, ainsi que sur les configurations requises du système, des
bases de données et des logiciels, consultez le Guide d'installation d'ePolicy Orchestrator.
Configuration matérielle minimale
Configuration matérielle et réseau requise pour le client Windows pour station de travail ou
serveur :
• Processeur : Intel ou AMD x86 et x64
• Espace disque disponible (client) : 15 Mo mais 100 Mo pendant l'installation
• Mémoire : 256 Mo RAM
• Environnement réseau : réseaux Microsoft ou Novell NetWare (les réseaux NetWare
nécessitent TCP/IP)
• Carte d'interface réseau : carte réseau 10 Mbit/s ou plus
Systèmes d'exploitation pris en charge
Windows XP SP2, SP3 (32 bits uniquement)
• Edition professionnelle
Windows Vista, Vista SP1 (32 et 64 bits)
• Professionnel
• Enterprise Edition
• Edition intégrale
35
Windows 7 (32 ou 64 bits)
• Professional Edition
• Enterprise
• Edition Intégrale
Windows Server 2003 SP2, 2003 R2, 2003 R2 SP2 (32 et 64 bits)
• Toutes les éditions
Windows Server 2008, 2008 SP1, 2008 SP2, 2008 R2 (32 et 64 bits)
• Toutes les éditions
Clients VPN (Virtual Private Network) pris en charge
• Client AT&T Global Network Services 7.6, 8.1
• Client VPN CheckPoint R60, R71
• Client VPN Cisco IPSec version 5.0
• Client VPN Cisco SSL 2.4
• Citrix SSL 4.5.6
• F5 Firepass 1200 6.1 (6031.2009.1010.312)
• iPass 3.5
• Client VPN Juniper Netscreen 10.7
• VPN Juniper Network Connect SSL v6.4
• Microsoft Forefront UAG 2010
• Microsoft VPN
• NCP Secure Entry Client for Win32/64
• NetMotion Mobility XE 7.2
• Client VPN Nortel Contivity 10.x
• Clients VPN SafeNet HARemote v2.0
• Client VPN SonicWALL Global 4.0
• WatchGuard VPN
Plates-formes de virtualisation prises en charge
• VMware ESX 3.5, 4.0
• VMware Vsphere 4.0
• VMware View 4 3.1, 4.0
• VMware Thin App 4.0, 4.5
• VMware ACE 2.5, 2.6
• VMware Workstation 6.5, 7.0
• VMware Player 2.5, 3.0
• VMware Server 1.0, 2.0
• Citrix Xen Server 5.0, 5.5
• Citrix Xen Desktop 3.0, 4.0
• Citrix Xen App 5.0, 6.0
• Microsoft Hyper-V Server 2008, 2008 R2
36
• Microsoft Windows Server 2008 Hyper-V 2008, 2008 R2
• Microsoft VDI (offre groupée)
• MED-V 1.0, 1.0 SP1
• App-V 4.5, 4.6
• SCVMM 2008, 2008 R2
• SCCM 2007SP2, 2007 R2
• SCOM 2007, 2007 R2
• Microsoft App-V 4.5, 4.6
• XP Mode Windows 7 32 et 64 bits
Bases de données prises en charge
• MS SQL 2000
• MS SQL 2005
• MS SQL 2008, 2008 R2
Pour déployer le client à partir du serveur ePO, ajoutez son package de déploiement au référentiel
maître d'ePolicy Orchestrator, puis déployez-le sur les ordinateurs clients. Pour en savoir plus,
consultez le Guide produit d'ePolicy Orchestrator.
Tâche
1
Accédez à Logiciel | Référentiel maître, puis cliquez sur Archiver un package (ePolicy
Orchestrator 4.0) ou sélectionnez Actions | Archiver un package (ePolicy Orchestrator
4.5 et versions ultérieures).
2
Sélectionnez Produit ou mise à jour (.ZIP), puis cliquez sur Parcourir.
3
Recherchez le fichier .zip du package client Host IPS, puis cliquez sur Ouvrir.
4
Cliquez sur Suivant puis sur Enregistrer.
5
Accédez à Systèmes | Arborescence des systèmes et sélectionnez le groupe de
systèmes sur lequel vous souhaitez installer le composant client.
6
Accédez à Tâches client et cliquez sur Nouvelle tâche (ePolicy Orchestrator 4.0) ou
sélectionnez Actions | Nouvelle tâche (ePolicy Orchestrator 4.5 et versions ultérieures).
7
Dans le Générateur de tâches, attribuez un nom à la tâche, sélectionnez Déploiement
de produits dans la liste des tâches, puis cliquez sur Suivant.
8
Sélectionnez la plate-forme client, Host Intrusion Prevention 8.0 comme produit à
installer, puis cliquez sur Suivant.
9
Planifiez la tâche à exécuter, cliquez sur Suivant, puis sur Enregistrer. Si vous avez
programmé la tâche pour qu'elle soit exécutée immédiatement, exécutez un appel de
réactivation de l'agent.
37
Vous pouvez installer le logiciel client localement sur une station de travail, un ordinateur ou
un serveur Windows, sans utiliser ePolicy Orchestrator. Vous pouvez effectuer cette opération
manuellement ou utiliser un logiciel tiers en vue d'une distribution vers une collection de
systèmes.
Avant de commencer
S'il existe une version précédente du client, veillez à désactiver la protection IPS avant
l'installation.
Tâche
1
Copiez le fichier du package d'installation client dans l'ordinateur client.
2
Exécutez le programme d'installation (McAfeeHip_ClientSetup.exe) dans le package.
3
Suivez les instructions à l'écran pour compléter l'installation.
Application des stratégies et des mises à jour de
contenu IPS
Après avoir installé le client, vérifiez que les propriétés des informations système et de Host
Intrusion Prevention 8.0 sont rapportées sur la console ePO. Pour en savoir plus, consultez le
Guide Produit d'ePolicy Orchestrator.
Vous êtes maintenant prêts à contrôler et déployer des stratégies IPS sur le client Windows.
Pour en savoir plus, consultez le Guide Produit de Host Intrusion Prevention 8.0.
Pour être sûr que le client dispose du contenu le plus à jour, téléchargez le dernier package de
mise à jour de contenu de Host Intrusion Prevention et ajoutez-le au référentiel ePO pour
déploiement. Les mises à jour de contenu sont accessibles par le client uniquement via la
commande « Mettre à jour maintenant » de McAfee Agent, à condition que le processus de
mise à jour ait été configuré par l'administrateur de Host Intrusion Prevention. Pour en savoir
plus sur ces opérations, consultez la section Mises à jour de protection Host IPS du Guide Produit
de McAfee Host Intrusion Prevention.
Pour déployer les patchs et les mises niveau à partir de la console ePO, suivez les procédures
décrites dans le Guide Produit d'ePolicy Orchestrator.
Pour installer localement les patchs et les mises à niveau, vérifiez toujours que la protection
IPS est désactivée, puis suivez les procédures d'installation locale des produits décrites dans
ce chapitre.
McAfee fournit un utilitaire (client_control.exe) afin d'aider à automatiser les mises à niveau et
les autres tâches de maintenance lorsqu'un logiciel tiers est utilisé pour déployer Host Intrusion
Prevention sur des ordinateurs clients. Cet utilitaire de ligne de commande, qui peut être inclus
dans les scripts d'installation et de maintenance pour désactiver temporairement la protection
IPS et activer les fonctions de journalisation, est inclus dans le package client. Consultez
l'Annexe B : utilitaire Clientcontrol.exe du Guide Produit McAfee Host Intrusion Prevention pour
obtenir des instructions d'utilisation, y compris des détails sur les paramètres et la sécurité.
38
Vous pouvez supprimer le client Host Intrusion Prevention à distance en exécutant une tâche
de déploiement à partir du serveur ePolicy Orchestrator ou directement sur l'ordinateur client.
Depuis le serveur ePO
• Exécutez une tâche de déploiement pour le client et sélectionnez l'action Supprimer pour
Host Intrusion Prevention.
Directement sur l'ordinateur client
Si la console du client n'est pas disponible à partir de l'icône de la barre d'état système, rendez-la
accessible afin que le client puisse procéder à la suppression du client.
Tâche
1
A partir du serveur ePO, sélectionnez le système sur lequel vous souhaitez supprimer le
logiciel.
2
Mettez en œuvre l'option de stratégie d'interface utilisateur du client Host Intrusion
Prevention Afficher le produit dans la liste Ajout/Suppression de programmes.
3
Définissez la tâche de déploiement de Host Intrusion Prevention sur Ignorer.
4
Sur l'ordinateur client, déverrouillez l'interface client à l'aide d'un mot de passe.
5
Désélectionnez Activer Host IPS.
6
Supprimez Host Intrusion Prevention à l'aide du Panneau de configuration
Ajout/Suppression de programmes.
7
Redémarrez l'ordinateur.
Résolution des problèmes d'installation sous
Windows
Si un problème survient au moment de l'installation ou de la désinstallation du client, plusieurs
points sont à examiner. Il convient notamment de s'assurer que tous les fichiers nécessaires
ont été installés dans le bon répertoire, que le client fonctionne et de vérifier les journaux de
processus.
Vérification des fichiers d'installation sous Windows
Après une installation, vérifiez que les dossiers et les fichiers ont été installés sur le client. Le
dossier C:\Program Files\McAfee\Host Intrusion Prevention doit être installé et doit contenir les
fichiers et les dossiers essentiels suivants :
Nom du fichier
Description
FireSvc.exe, VSCore/Release/mfefire.exe,
VSCore/Release/mfrvtp.exe
Services Host Intrusion Prevention
McAfeeFire.exe
Console client
L'historique d'installation est consigné dans le fichier
C:\Windows\Temp\McAfeeLogs\McAfeeHip8_Install_<version>.log. Pour vérifier que le client a été
39
Arrêt du client Windows
correctement installé, recherchez l'entrée suivante dans le fichier : Product: McAfee Host
Intrusion Prevention -- Installation operation completed successfully.
Les fichiers journaux se trouvent dans le dossier C:\Documents and Settings\All Users\Application
Data\McAfee\Host Intrusion Prevention\ ou C:\ProgramData\McAfee\Host Intrusion Prevention sous
Vista et Windows 7.
Vérification de l'exécution du client Windows
Le client est correctement installé, mais vous pouvez rencontrer des problèmes au moment de
son fonctionnement. Si le client n'apparaît pas sur la console ePO par exemple, vérifiez qu'il est
en cours d'exécution. Ouvrez une invite de commande et tapez tasklist \svc, puis vérifiez que
les services suivants sont en cours d'exécution :
• FireSvc.exe
• mfefire.exe
• mfevtp.exe
Si ce n'est pas le cas, procédez comme suit :
1
Exécutez C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe
pour ouvrir la console du client.
2
Déverrouillez la console : sélectionnez Tâche | Déverrouiller l'interface client et tapez
abcde12345 comme mot de passe par défaut.
3
Définissez le débogage : sélectionnez Aide | Dépannage et activez la journalisation
complète des débogages pour le pare-feu et l'IPS.
4
Vérifiez que Host IPS et IPS Réseau sont désactivés.
5
Ouvrez une invite de commande et exécutez net start enterceptagent pour démarrer le service
client.
Si le service ne démarre toujours pas, ouvrez le fichier FireSvc.log et recherchez les erreurs ou
messages d'avertissement susceptibles de donner des indications sur la raison de l'échec du
démarrage du service.
Vérification du déclenchement correct des événements Host IPS
Après avoir vérifié que le client a été correctement installé et est en cours d'exécution, vérifiez
que la protection IPS fonctionne. Assurez-vous tout d'abord que Host IPS est activé dans la
console client. Créez ensuite un nouveau document texte dans le répertoire d'installation client :
C:\Program Files\McAfee\Host Intrusion Prevention. Cette action doit être bloquée et un message
d'erreur doit s'afficher pour vous indiquer que vous ne disposez pas des droits suffisants pour
effectuer un enregistrement dans cet emplacement. Ouvrez le fichier HipShield.log et faites une
recherche sur les infractions, de bas en haut. Vérifiez que la signature suivante a été déclenchée :
1001 Windows Agent Shielding -- File Modification.
Arrêt du client Windows
Dans le cadre d'un dépannage, vous pouvez être amené à arrêter un client en cours d'exécution,
puis à le redémarrer.
Tâche
1
40
Désactivez la protection IPS si elle est activée. Utilisez l'une des procédures suivantes :
Redémarrage du client Windows
• Définissez Options IPS sur Désactivé, dans la console ePO, et appliquez la stratégie
au client.
• Ouvrez la console du client et, sur l'onglet Stratégie IPS, désélectionnez Activer Host
IPS.
REMARQUE : il n'est pas nécessaire de désactiver la protection par pare-feu pour arrêter
le client.
2
Ouvrez une invite de commande et exécutez : net stop enterceptagent
Redémarrage du client Windows
Il se peut que vous deviez redémarrer un client que vous avez arrêté dans le cadre du
dépannage.
Tâche
1
Ouvrez une invite de commande et exécutez : net start enterceptagent
2
Si vous avez désactivé la protection IPS, utilisez l'une de ces procédures pour la réactiver :
• Définissez Options IPS sur Activé, dans la console ePO, et appliquez la stratégie au
client.
• Ouvrez la console du client et, sur l'onglet Stratégie IPS, sélectionnez Activer Host
IPS.
41
Installation du client Solaris
Cette section décrit la configuration requise, les propriétés et l'installation du client Solaris
McAfee Host Intrusion Prevention 8.0, qui identifie et empêche les attaques potentiellement
nuisibles de compromettre les fichiers et applications du serveur Solaris. Il protège le système
d'exploitation du serveur et les serveurs web Apache et Sun en se concentrant sur les attaques
par Buffer Overflow.
Table des matières
Informations sur le client Solaris
Suppression du client Solaris
Résolution des problèmes d'installation sous Solaris
Arrêt du client Solaris
Redémarrage du client Solaris
Le client Host Intrusion Prevention 8.0 pour Solaris fonctionne avec ePolicy Orchestrator 4.0
et versions ultérieures, McAfee Agent 4.0 et le composant de gestion Host Intrusion
Prevention 8.0. Pour en savoir plus sur l'installation et l'utilisation d'ePolicy Orchestrator, consultez
le Guide d'installation d'ePolicy Orchestrator.
• Plate-forme SPARC sun4u/sun4v 32 et 64 bits
• 256 Mo de mémoire RAM
• 10 Mo d'espace disponible sur le disque dur
• SPARC Solaris 9, sun4u (noyau 32 ou 64 bits)
• SPARC Solaris 10, sun4u, sun4v (noyau 64 bits)
Serveurs web pris en charge
• Apache 1.3.6 et serveurs web ultérieurs
• Sun Java Web Server 6.1
• Sun Java Web Server 7.0
42
Mise en œuvre des stratégies
Certaines stratégies Host Intrusion Prevention 8.0 ne sont pas disponibles pour le client Solaris.
En bref, Host Intrusion Prevention protège le serveur hôte des attaques nuisibles mais n'offre
pas de protection par pare-feu. Les stratégies disponibles sont présentées ci-après.
Stratégie
Options disponibles
HIP 8.0 GÉNÉRAL :
Interface utilisateur du client
Aucune sauf administrateur ou mot de passe temporaire pour
permettre l'utilisation de l'outil de dépannage
Réseaux approuvés
Aucun
Applications approuvées
Toutes sauf Marquer comme approuvé pour le pare-feu
HIP 8.0 IPS :
Options IPS
•
Activer Host IPS
•
Activer le mode adaptatif
•
Conserver les règles de client existantes
Protection IPS
Tous
Règles IPS
•
Règles d'exception
•
Signatures (règles HIPS par défaut et personnalisées uniquement)
REMARQUE : les signatures et règles de protection des applications
NIPS ne sont pas disponibles.
Evénements IPS
Tous
Règles de client IPS
Tous
PARE-FEU HIP 8.0 :
Options de pare-feu
Aucun
Règles de pare-feu
Aucun
Blocage DNS du pare-feu
Aucun
REMARQUE : le client prend en charge les zones globales et locales. L'installation s'effectue
uniquement dans la zone globale.
Prise en charge des zones Solaris
Le client prend en charge la protection des zones globales et des zones locales mais il est
toujours installé dans la zone globale. La limite de la protection à certaines zones peut être
effectuée en modifiant les signatures des stratégies Règles IPS, dans lesquelles vous pouvez
ajouter une section de zone et entrer le nom de la zone en tant que valeur.
Par exemple, si vous disposez d'une zone appelée app_zone, dont la racine est /zones/app, la
règle de signature s'applique uniquement au fichier de la zone app_zone et pas de la zone
globale. Notez que dans cette version, la protection du serveur web ne peut pas être limitée à
une zone particulière. Le code de cette règle contient le texte suivant :
Rule {
...
file { Include "/tmp/test.log" }
zone { Include "app_zone" }
... }
43
Installation du client Solaris à distance
Pour en savoir plus sur la modification des signatures, consultez la section Annexe A : Création
de signatures personnalisées du Guide Produit ou de l'aide.
Installation du client Solaris à distance
consultez le Guide Produit d'ePolicy Orchestrator.
Tâche
1
2
3
4
Cliquez sur Suivant puis sur Enregistrer.
5
6
Accédez à Tâches client, puis cliquez sur Nouvelle tâche (ePolicy Orchestrator 4.0) ou
7
8
Sélectionnez la plate-forme client, Host Intrusion Prevention 8.0 comme produit à
9
Installation locale du client Solaris
Vous pouvez installer le logiciel client localement sur un serveur Solaris sans utiliser ePolicy
Orchestrator. Copiez le fichier d'installation client sur l'ordinateur client et lancez la commande
appropriée. S'il existe une version précédente du client, veillez à désactiver la protection IPS
avant l'installation.
REMARQUE : le client peut être installé uniquement dans la zone globale, mais prend en charge
les zones locales.
Tâche
44
1
Téléchargez les fichiers MFEhip.pkg et install_hip_solaris à partir du package
d'installation client.
2
Connectez-vous en tant que racine et exécutez la commande : ./install_hip_solaris MFEhip.pkg
contenu IPS
Intrusion Prevention 8.0 sont rapportées sur le serveur ePO. Pour en savoir plus, consultez le
Vous êtes maintenant prêts à contrôler et déployer des stratégies IPS sur le client Solaris. Pour
en savoir plus, consultez le Guide Produit de McAfee Host Intrusion Prevention 8.0.
déploiement. Pour en savoir plus sur cette opération, consultez la section Mises à jour de
protection Host IPS du Guide Produit de McAfee Host Intrusion Prevention.
Suppression du client Solaris
Vous devez d'abord désactiver les stratégies IPS du client sur le serveur ePO avant de le
supprimer manuellement de l'ordinateur client.
• Connectez-vous à l'ordinateur client en tant qu'administrateur et exécutez la commande
suivante : /opt/McAfee/hip/install_hip_solaris -uninstall.
Résolution des problèmes d'installation sous Solaris
processus.
Vérification des fichiers d'installation sous Solaris
Après une installation, vérifiez que tous les fichiers ont été installés dans le bon répertoire, sur
le client. Le répertoire /opt/McAfee/hip doit contenir les fichiers et répertoires essentiels suivants :
Nom du fichier/répertoire
Description
HipClient ; HipClient-bin
Client Solaris
HipClientPolicy.xml
Règle de stratégie
hipts ; hipts-bin
Outil de dépannage
*.so
Host Intrusion Prevention et modules d'objets partagés d'ePO Agent
45
Description
Répertoire log
Contient les fichiers journaux : HIPShield.log et HIPClient.log
Les historiques d'installation se trouvent dans /opt/McAfee/etc/hip-install.log. Reportez-vous à ce
fichier pour toute question concernant le processus d'installation ou de suppression du client
Vérification de l'exécution du client Solaris
son fonctionnement. Si le client n'apparaît pas sur la console ePO par exemple, utilisez la
commande suivante pour vérifier qu'il est en cours d'exécution :
• /etc/rc2.d/S99hip status
• ps –ef | grep Hip
Tâche
1
Désactivez la protection IPS. Utilisez l'une des procédures suivantes :
au client.
• Connectez-vous en tant qu'administrateur et exécutez la commande : hipts engines
MISC:off
2
Exécutez la commande suivante : /etc/rc2.d/S99hip stop.
Redémarrage du client Solaris
Tâche
1
Exécutez la commande suivante : /etc/rc2.d/S99hip restart.
2
Activez la protection IPS. Utilisez l'une des procédures suivantes, selon celle que vous avez
utilisée pour arrêter le client :
client.
• Connectez-vous en tant que racine et exécutez la commande : hipts engines MISC:on
46
Installation du client Linux
Cette section décrit la configuration requise, les propriétés et l'installation du client Linux McAfee
Host Intrusion Prevention 8.0, qui identifie et empêche les attaques potentiellement nuisibles
de compromettre les fichiers et applications du serveur Linux.
Table des matières
Informations sur le client Linux
Suppression du client Linux
Résolution des problèmes d'installation sous Linux
Arrêt du client Linux
Redémarrage du client Linux
Le client Host Intrusion Prevention 8.0 pour Linux fonctionne avec ePolicy Orchestrator 4.0 et
versions ultérieures, McAfee Agent 4.0 et le composant de gestion Host Intrusion Prevention 8.0.
Pour en savoir plus sur l'installation et l'utilisation d'ePolicy Orchestrator, consultez le Guide
d'installation d'ePolicy Orchestrator.
• Intel ou AMD x86 et x64
• 512 Mo de mémoire RAM
• 20 Mo d'espace disponible sur le disque dur
• Red Hat Linux Enterprise 4, 32 bits
• 2.6.9-5.EL
• 2.6.9-5.Elhugemem
• 2.6.9-5.ELsmp
• 2.6.9-5.EL
• 2.6.9-5.ELsmp
• 2.6.18-8.el5
• 2.6.18-8.el5PAE
47
• 2.6.18-8.el5
• SUSE Linux Enterprise 10, 32 bits
• 2.6.16.21-0.8-bigsmp
• 2.6.16.21-0.8-default
• 2.6.16.21-0.8-smp
• 2.6.16.21-0.8-default
• 2.6.16.21-0.8-smp
• 2.6.27.19-5-default
• 2.6.27.19-5-pae
• 2.6.27.19-5-default
Serveurs web pris en charge
Système de fichiers et protection HTTP
Le client Linux protège les fichiers et les processus du système d'exploitation. Il n'offre pas de
protection réseau, de prévention par Buffer Overflow ou de surveillance du trafic HTTP.
Mise en œuvre des stratégies avec le client Linux
Certaines stratégies Host Intrusion Prevention 8.0 ne sont pas disponibles pour le client Linux.
En bref, Host Intrusion Prevention protège le serveur hôte des attaques nuisibles mais n'offre
pas de protection par pare-feu. Les stratégies disponibles sont présentées ci-après.
Stratégie
Options disponibles
HIP 8.0 GÉNÉRAL :
Interface utilisateur du client
Aucune sauf administrateur ou mot de passe temporaire pour
permettre l'utilisation de l'outil de dépannage
Réseaux approuvés
Aucun
Applications approuvées
Toutes sauf Marquer comme approuvé pour le pare-feu
HIP 8.0 IPS :
Options IPS
48
•
Activer HIPS
•
Activer le mode adaptatif
•
Conserver les règles de client existantes
Protection IPS
Tous
Règles IPS
•
Règles d'exception
Installation du client Linux à distance
Stratégie
Options disponibles
•
Signatures (règles HIPS par défaut et personnalisées uniquement)
REMARQUE : les signatures et règles de protection des applications
NIPS ne sont pas disponibles.
Evénements IPS
Tous
Règles de client IPS
Tous
PARE-FEU HIP 8.0 :
Options de pare-feu
Aucun
Règles de pare-feu
Aucun
Blocage DNS du pare-feu
Aucun
Installation du client Linux à distance
consultez le Guide produit d'ePolicy Orchestrator.
Tâche
1
2
3
4
Cliquez sur Suivant, puis sur Enregistrer.
5
6
Accédez à Tâches client, puis cliquez sur Nouvelle tâche (ePolicy Orchestrator 4.0) ou
7
8
Sélectionnez la plate-forme client, Host Intrusion Prevention 8.0.0 comme produit à
9
REMARQUE : si vous mettez à jour le client à partir de la version 7.1.0, vous devez
redémarrer le système Linux.
49
Installation locale du client Linux
Installation locale du client Linux
Vous pouvez installer le logiciel client directement sur un serveur Solaris sans utiliser ePolicy
Orchestrator. Copiez le fichier d'installation client sur l'ordinateur client et lancez la commande
appropriée. S'il existe une version précédente du client, veillez à désactiver la protection IPS
avant l'installation.
Tâche
1
Copiez le fichier .rpm correspondant depuis le package d'installation client sur le système
Linux :
1
MFEhiplsm-kernel-8.0.0.-<numéro build>.RH4.i386.rpm
2
MFEhiplsm-8.0.0.-<numéro build>.RH4.i386.rpm
1
MFEhiplsm-kernel-8.0.0.-<numéro build>.RH4.x86_64.rpm
2
MFEhiplsm-apache-8.0.0.-<numéro build>.RH4.x86_64.rpm
3
1
MFEhiplsm-kernel-8.0.0.-<numéro build>.RH5.i386.rpm
2
1
MFEhiplsm-kernel-8.0.0.-<numéro build>.RH5.x86_64.rpm
2
MFEhiplsm-apache-8.0.0.-<numéro build>.RH5.x86_64.rpm
3
1
MFEhiplsm-kernel-8.0.0.-<numéro build>.SUSE10.i386.rpm
2
MFEhiplsm-8.0.0.-<numéro build>.SUSE10.i386.rpm
1
MFEhiplsm-kernel-8.0.0.-<numéro build>.SUSE10.x86_64.rpm
2
MFEhiplsm-apache-8.0.0.-<numéro build>.SUSE10.x86_64.rpm
3
1
MFEhiplsm-kernel-8.0.0.-<numéro build>.SUSE11.i386.rpm
2
50
1
MFEhiplsm-kernel-8.0.0.-<numéro build>.SUSE11.x86_64.rpm
2
MFEhiplsm-apache-8.0.0.-<numéro build>.SUSE11.x86_64.rpm
3
2
Exécutez la commande suivante : rpm -i <nom du fichier rpm> pour chaque fichier rpm, dans
l'ordre indiqué.
REMARQUE : si vous mettez à jour le client à partir de la version 7.1.0, vous devez
redémarrer le système Linux.
contenu IPS
Intrusion Prevention 8.0 sont rapportées sur le serveur ePO. Pour en savoir plus, consultez le
Vous êtes maintenant prêts à surveiller et à déployer des stratégies IPS sur le client Linux. Pour
en savoir plus, consultez le Guide Produit de Host Intrusion Prevention 8.0.
déploiement. Pour en savoir plus sur cette opération, consultez le Guide produit d'ePolicy
Orchestrator.
Pour être sûr que le client dispose du contenu IPS le plus à jour, téléchargez le dernier package
de mise à jour de contenu de Host Intrusion Prevention et ajoutez-le au référentiel ePO pour
déploiement. Pour en savoir plus sur ces opérations, consultez la section Mises à jour de
protection Host IPS du Guide Produit de McAfee Host Intrusion Prevention.
Suppression du client Linux
Vous devez d'abord désactiver les stratégies IPS du client sur le serveur ePO avant de le
supprimer manuellement de l'ordinateur client.
• Connectez-vous à l'ordinateur client en tant qu'administrateur et exécutez la commande
suivante : rpm -e MFEhiplsm; MFEhiplsm-kernel; MFEhiplsm-apache.
Résolution des problèmes d'installation sous Linux
processus.
51
Vérification des fichiers d'installation sous Linux
Après une installation, vérifiez que tous les fichiers ont été installés dans le bon répertoire, sur
le client. Le répertoire /opt/McAfee/hip doit contenir les fichiers et répertoires essentiels suivants :
Description
HipClient ; HipClient-bin
Client Linux
HipClientPolicy.xml
Règles de stratégie
hipts ; hipts-bin
Outil de dépannage
*.so
Host Intrusion Prevention et modules d'objets partagés d'ePO Agent
Répertoire log
Contient les fichiers journaux : HIPShield.log et HIPClient.log
Les historiques d'installation se trouvent dans /opt/McAfee/etc/hip-install.log. Reportez-vous à ce
fichier pour toute question concernant le processus d'installation ou de suppression du client
Vérification de l'exécution du client Linux
son utilisation. Si le client n'apparaît pas dans la console ePO par exemple, utilisez la commande
suivante pour vérifier qu'il est en cours d'exécution : ps –ef | grep Hip
Dans le cadre d'un dépannage, vous pouvez être amené à arrêter un client en cours d'exécution
Tâche
1
Pour arrêter l'exécution d'un client, désactivez d'abord la protection IPS. Utilisez l'une des
procédures suivantes :
au client.
2
• Connectez-vous en tant qu'administrateur et exécutez la commande suivante : hipts
engines MISC:off.
Exécutez la commande suivante : hipts agent off.
Tâche
52
1
Pour redémarrer un client, exécutez la commande suivante : hipts agent on
2
Activez la protection IPS. Utilisez l'une des procédures suivantes, selon celle que vous avez
utilisée pour arrêter le client :
client.
• Connectez-vous en tant qu'administrateur et exécutez la commande suivante : hipts
engines MISC:on.
53

McAfee Host Intrusion Prevention 8.0

Transcription

Documents pareils

2016 Interclubs Classe A Résultats Class A Interclub Result

INSTITUT NATIONAL POLYTECHNIQUE DE GRENOBLE

Connaître le système de détection d`intrusion et ses

Lors de la configuration du cluster en DRS, j`obtiens l`erreur

Service Expert en ligne d`Aliant

Maîtriser les raccourcis du clavier de VirtualBox

Installation de McAfee Entreprise ULB sur un MAC

Directeur de la publication !-Ist.de Molla`d

Aide évoluée en ligne