如何启用缓冲区溢出引擎兼容性模式

技术文章 ID: KB79343
上次修改时间: 2022/09/19

环境

Endpoint Security （ENS）威胁防护 10.x
主机入侵防护（主机 IPS） 8.0

问题

当 ENS 或主机 IPS 漏洞利用防护缓冲区溢出引擎启用并监控系统时，某些第三方软件可能会遇到问题。（示例第三方软件包括 Microsoft Internet Explorer 和运行 IIS 应用程序的 Windows 服务器。）这些问题可能包括页面未加载、应用程序无法启动或应用程序崩溃。

原因

此问题在所有情况下均未出现。它取决于正在访问的特定应用程序的编程代码实现。具体地说，在通过 ENS 或主机 IPS 产品 HeapWalk 监控应用程序编程接口（API）函数调用的过程中可能会发生此问题。

解决方案

我们实施了一个兼容性解决方案，可禁用 HeapWalk 缓冲区溢出检查，并在大多数系统上缓解此问题。

安全/Security 影响：

此 解决方案不会降低对 ENS 或主机 IPS 产品的安全保护。它只会禁用缓冲区溢出引擎执行的特定 HeapWalk 指令检查。
缓冲区溢出监控提供分层安全保护范围以进行保护。它包括用于监控其他内存堆的缓冲区溢出指令监控 API 以及作为整体使用的内存的完整性。
以下指令会检查与缓冲区溢出监控有关的信息，不受影响： bo:stack, bo:writeable_memory, bo:invalid_call, bo:target_bytes 、 bo:call_not_found, bo:call_return_unreadable, bo:call_different_target_address, bo:call_return_to_api, and bo:different_stack 。
Trellix Labs 漏洞利用防护内容团队发现，没有已知漏洞利用本身只 bo:heap 会使用缓冲区溢出指令。

缓冲区溢出 IPS 指令：

ENS： 有关 Windows 类缓冲区溢出 IPS 指令的完整信息，请参阅《 Endpoint Security 10.7.x 产品手册》的 "缓冲区溢出类类型" 部分。
主机 IPS： 有关 Windows 类缓冲区溢出 IPS 指令的完整信息，请参阅《主机入侵防护 8.0 产品手册》的 "Windows 类缓冲区溢出" 部分。

实施解决方案的步骤：

在 Windows 系统上，缓冲区溢出兼容性模式需要 ENS 10.x 或主机 IPS 8.0 更新4（或更高版本）。基于注册表的解决方案禁用 HeapWalk 了 IPS 规则应用程序保护列表上的任何受监控进程 IPS 引擎的缓冲区溢出检查。

注意：： 本文包含有关打开或修改注册表的信息。

以下信息供系统管理员使用。注册表修改是不可逆的，如果执行不正确可能会导致系统故障。
执行前，技术支持强烈建议您先备份注册表并了解还原过程。有关详细信息，请参阅高级用户文章的 Microsoft Windows 注册表信息。
请不要运行未确认为真正的注册表导入文件的 REG 文件。

自启用缓冲区溢出引擎兼容性模式，请执行以下步骤：

ENS：

禁用 ENS 产品控制台中的 ENS通用策略中的 Enable Self Protection 选项。
禁用 "ENS威胁防护中的启用漏洞利用防护" 选项，请在 ENS 产品控制台内利用防护策略。
按 Windows + R，键入 regedit ，然后单击确定。
导航至：
- 32位系统： [HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\Endpoint\Ips\BO]
- 64位系统： [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee\EndPoint\Ips\BO]
右键单击右窗格，选择 新增功能， Dword，然后命名新密钥 dwBOCompatibilityMode 。
修改新密钥并设置 值数据 到 1 。

注意： 要禁用缓冲区溢出引擎兼容性模式，请更改 值数据 到 0。
在 ENS 控制台中重新启用 ENS Self Protection 和漏洞利用防护功能。

Host IPS:

从客户端 GUI 中禁用主机 IPS。
按 Windows + R，键入 regedit ，然后单击确定。
导航至：
- 32位系统： [HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\HIP]
- 64位系统： [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee\HIP]
右键单击右窗格，选择 新增功能， Dword，然后命名新密钥 dwBOCompatibilityMode 。
修改新密钥并设置 值数据 到 1 。

注意： 要禁用缓冲区溢出引擎兼容性模式，请更改 值数据 到 0。
从客户端 GUI 重新启用主机 IPS。

免责声明

本文内容源于英文。如果英文内容与其翻译内容之间存在差异，应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。

受影响的产品

语言:

此文章有以下语言版本：

Knowledge Center

如何启用缓冲区溢出引擎兼容性模式

环境

问题

原因

解决方案

相关信息

免责声明

受影响的产品

语言:

Title

Title

Knowledge Center

如何启用缓冲区溢出引擎兼容性模式

环境

问题

原因

解决方案

相关信息

免责声明

受影响的产品

语言:

选择您的区域

Title

Title