0 返信 最新の回答 日時: Nov 14, 2013 9:39 PM ユーザー:hnegishi

    【TIPS】HIP 8.0 - アプリケーションブロックシグネチャの作成方法

    hnegishi

      皆さん、こんにちは。

      マカフィーテクニカルサポートセンターです。

       

      P2Pモデルを用いたファイル共有ソフトウェアを利用したことによって、

      マルウェア感染などで情報漏洩する事件は未だに後を絶ちません。

      今回はHost Intrusion Prevention(以下HIP)を使用することにより、

      こういったファイル共有ソフトウェア利用をコントロールする方法をご紹介します。

       

      下記の手順でHIP 8.0のIPSシグネチャを新たに作成し、

      ファイル共有ソフトウェア実行プログラムの起動阻止を行います。

       

      1.

      ePOコンソールより、システムツリー-割り当て済みのポリシーより、

      製品プルダウンメニューから[Host Intrusion Prevention8.0 IPS]を選択します。

       

      2.

      IPSルールポリシーの項目の、現在クライアントに割り当てているポリシー名をクリックします。

       

      3.

      左下の[新規]をクリックします。

       

      4.

      [シグネチャ名]は任意で入力し、サブルールタブをクリックします。

       

      5.

      [新しい標準サブルール]をクリックし、[名前]はWinnyをブロックする場合、例としてWinnyとします。

       

      6.

      [ルールの種類]はプルダウンメニューから[プログラム]を選択し、

      [操作]は[対象実行ファイルの実行]にチェックを入れます。

       

      7.

      [パラメータ]の[新しい対象実行ファイル]をクリックし、

      [名前]は任意で入力し、ファイル名にWinny.exeと入力し[保存]をクリックします。

      [フィンガープリント]の項目で実行ファイルのハッシュ値を指定することも可能です。

       

      8.

      標準サブルールのプロパティ画面は[OK]をクリックします。

       

      9.

      [説明]タブをクリックし任意の説明を入力完了後、OKをクリックし保存します。

       

      10.

      limewire、shareなど他のファイル共有ソフトを追加する場合、手順5 から繰り返します。

       

      11.

      ルールを保存しクライアントへポリシーを施行します。

       

      以下のように実行時ファイルアクセス拒否メッセージが表示され

      起動が阻止できましたら上記ルールポリシーが正しく施行されています。

       

      image.jpg

       

       

      本投稿の原文となるナレッジは以下となります。

      ナレッジの更新に伴い、本投稿の内容と差異が生じた場合はナレッジの内容が優先されます。

       

      "How to configure application blocking/hooking functionality with Host Intrusion Prevention 8.0"

      https://kc.mcafee.com/corporate/index?page=content&id=KB71794

       

       

      これからもマカフィー製品のご愛顧を宜しくお願い申し上げます。

       

      以上

       

      マカフィーテクニカルサポートセンター根岸

       

       

      このメッセージは次により編集されています: hnegishi on 13/11/14 21:39:25 CST