FAQ pour pare-feu Endpoint Security "désactiver les règles de réseau de base McAfee" fonctionnalité
Articles techniques ID:
KB91206
Date de la dernière modification : 2022-10-04 12:42:01 Etc/GMT
Date de la dernière modification : 2022-10-04 12:42:01 Etc/GMT
Environnement
Pare-feu Endpoint Security (ENS) 10.x
Synthèse
Cet article fournit des informations détaillées sur la fonctionnalité pare-feu ens "désactiver les règles de réseau de base McAfee."
Mises à jour récentes de cet article
Contenu
Cliquez pour accéder à la section que vous souhaitez afficher :
Qu’est-ce que le pare-feu ens "désactiver les règles de réseau de base McAfee" et son objectif ?
Cette fonctionnalité contient les règles de réseau de base. Elle inclut des règles de pare-feu pour autoriser plusieurs types de trafic réseau associés aux éléments suivants :
Les règles de pare-feu suivantes sont incluses dans le groupe de "réseau" McAfee Core :
Remarque : Avec le pare-feu 10.7.0 ens et les versions ultérieures, plusieurs "permettent aux applications signées McAfee" règles de pare-feu répertoriées ci-dessous ont été fusionnées en une seule règle de pare-feu.
Pour les clients qui ne souhaitent pas utiliser ce groupe de règles de pare-feu, ENS permet de les désactiver via la stratégie ePolicy Orchestrator (ePO) ou la configuration locale. Lorsque vous activez la fonctionnalité de désactivation de "McAfee les règles de réseau de base", la désactivation du message conMenu McAfee les règles de réseau de base peuvent perturber les communications réseau sur le serveur ePO et la console client ens locale. Ce message signale les problèmes potentiels de perturbation du réseau. Si vous désactivez ce groupe de règles de pare-feu, vous pouvez (même si cela n' est pas garanti) rencontrer des problèmes de communication réseau. Ces règles de pare-feu autorisent des processus de Windows critiques et le trafic réseau associé. S’ils sont désactivés, cela peut affecter les fonctionnalités ou fonctionnalités associées à ces processus. Par exemple, les travaux d’impression, l’interaction avec les serveurs DNS et les connexions utilisateur. Effectuez des tests approfondis si cette fonctionnalité est activée pour s’assurer qu’il n’y a aucun problème.
Une autre raison importante est d’empêcher le pare-feu ENS de bloquer Trellix Agent (TA) et d’autres trafics réseau de produits. Si un problème de stratégie de pare-feu se produit, par exemple, une stratégie mal implémentée ou corrompue, le pare-feu ENS doit toujours autoriser les communications TA au serveur ePO pour obtenir de nouvelles mises à jour de stratégies et résoudre les problèmes liés aux stratégies. Si le pare-feu ne dispose pas de cette fonctionnalité, les alternatives potentielles seraient double. Le pare-feu peut bloquer de manière permanente le serveur ePO et les mises à jour de stratégies et de communication TA, ou ne pas autoriser le système à se connecter à un réseau. L’une des alternatives peut nécessiter une intervention manuelle du système local pour remédier à ce problème.
Une fois que j’ai activé la fonctionnalité "désactiver McAfee règles de réseau de base", pourquoi toutes les règles de pare-feu dans le groupe de mise en réseau McAfee Core ne sont-elles pas désactivées ?
Ce comportement est dû à la conception même du modèle. Le groupe principal de mise en réseau de base est toujours activé, tandis que certaines règles de pare-feu sont désactivées. Toutefois, les autres règles de pare-feu critique ne sont pas désactivées. Cette conception consiste à empêcher le pare-feu ENS de bloquer les types spécifiques suivants de trafic réseau application et non-application qui peuvent potentiellement provoquer des pannes majeures. Par exemple, un système incapable de se connecter ou d’obtenir une adresse IP à partir du réseau local est le suivant :
Les règles suivantes ne sont pas désactivées :
Actuellement, la modification de ces règles n’est pas une fonctionnalité disponible. Vous pouvez activer ou désactiver uniquement le groupe de règles de pare-feu (avec les limitations indiquées ci-dessus).
Si j’active la fonctionnalité "désactiver McAfee les règles de réseau de base", quels problèmes peuvent survenir ?
La désactivation de ce groupe de règles de pare-feu risque de provoquer le blocage de certains trafics réseau pour les processus critiques. Les modifications de configuration du pare-feu peuvent être nécessaires dans la stratégie options de pare - feu ou règles de pare-feu . Les modifications varient en fonction du type de trafic réseau bloqué et de la manière dont vous souhaitez autoriser le trafic réseau. Par exemple, si vous souhaitez créer des règles de pare-feu spécifiques pour autoriser le trafic, ou l’autoriser par des règles de réseau approuvé ou des réseaux définis (approuvés) de type exécutable approuvé générique.
Dois-je désactiver le groupe de gestion de réseau principal à des fins de test ou d’utilisation de production ?
Certains clients peuvent souhaiter contrôler plus étroitement le trafic réseau via des règles de pare-feu. Par exemple, autoriser le trafic DNS vers des adresses IP de serveur DNS spécifiques uniquement. Par conséquent, la désactivation du groupe de mise en réseau central est une option. Mais nous vous déconseillons de désactiver les règles de réseau de base. Cela peut provoquer des problèmes de communication réseau sur le client, comme indiqué dans le message contextuel qui s’affiche lorsque vous activez cette fonctionnalité dans l’interface utilisateur :
Disabling McAfee core networking rules could disrupt network communications on the client.
Tenez compte du type de problème qui peut se produire lorsque ces règles de pare-feu de groupe de réseau principal sont désactivées. Assurez-vous d’effectuer des tests approfondis avant d’implémenter une stratégie pour laquelle cette fonctionnalité est activée dans les environnements de production. Vous devrez peut-être créer ou modifier des règles de pare-feu pour résoudre les problèmes qui surviennent.
Quels sont les exemples de désactivation des règles de réseau de base McAfee ?
Certains types de trafic réseau sont autorisés à passer par ces règles de réseau de base. reportez-vous aux exemples ci-dessous. Si vous devez contrôler ces types de trafic réseau, vous pouvez désactiver les règles de réseau central McAfee. Toutefois, comme indiqué ci-dessus, veillez à ce que cela (la désactivation des règles de mise en réseau de base ne soit pas recommandé) et effectuez des tests approfondis avant l’implémentation de l’environnement de production.
Mises à jour récentes de cet article
Date | Mise à jour |
10 août 2022 | Ajout de la section "que sont les exemples dans lesquels les règles de réseau de base McAfee peuvent être désactivées ?" Ajout d’une table des matières des questions/informations en haut de l’article. |
14 février 2022 | La FAQ a-t-elle été mise à jour "dois-je désactiver le groupe de gestion de réseau central à des fins de test ou de production ?" que nous vous déconseillons de désactiver les règles de réseau central. |
Contenu
Cliquez pour accéder à la section que vous souhaitez afficher :
- Qu’est-ce que le pare-feu ens "désactiver les règles de réseau de base McAfee" et son objectif ?
- Quelles règles de pare-feu sont incluses dans le groupe "McAfee Core Network" ?
- Pourquoi "désactiver les règles de réseau de base McAfee" disponibles sous la forme d’une fonctionnalité sélectionnable dans la stratégie options de pare-feu ens ?
- Une fois que j’ai activé la fonctionnalité "désactiver McAfee règles de réseau de base", pourquoi toutes les règles de pare-feu dans le groupe de mise en réseau McAfee Core ne sont-elles pas désactivées ?
- Quelles règles de pare-feu de réseau central ne sont pas désactivées lorsque j’active la fonctionnalité "désactiver McAfee règles de réseau de base" ?
- Puis-je modifier ou supprimer le groupe de gestion du réseau central ou l’une des règles de pare-feu du groupe ?
- Si j’active la fonctionnalité "désactiver McAfee les règles de réseau de base", quels problèmes peuvent survenir ?
- Dois-je désactiver le groupe de gestion de réseau principal à des fins de test ou d’utilisation de production ?
- Quels sont les exemples de désactivation des règles de réseau de base McAfee ?
Qu’est-ce que le pare-feu ens "désactiver les règles de réseau de base McAfee" et son objectif ?
Cette fonctionnalité contient les règles de réseau de base. Elle inclut des règles de pare-feu pour autoriser plusieurs types de trafic réseau associés aux éléments suivants :
- Processus système critiques
- Applications Trellix
- DHCP
- Système DNS (Domain Name System)
- Bouclage
- Diffusion
Les règles de pare-feu suivantes sont incluses dans le groupe de "réseau" McAfee Core :
Remarque : Avec le pare-feu 10.7.0 ens et les versions ultérieures, plusieurs "permettent aux applications signées McAfee" règles de pare-feu répertoriées ci-dessous ont été fusionnées en une seule règle de pare-feu.
- Autoriser les applications système sortantes : autorise le trafic réseau sortant pour le processus de l’exécutable du système Windows.
- Autoriser
ARP le trafic : autorise le trafic réseau entrant et sortant pour les paquets ARP (Address Resolution Protocol) (protocole Ethernet 0x806). - Autoriser le trafic EAPOL : autorise le trafic réseau entrant et sortant pour les paquets EAPOL (Extensible Authentication Protocol over LAN) (protocole Ethernet 0x888E).
- Autoriser les applications boursières sortantes : autorise le trafic réseau sortant pour Windows processus critiques (par exemple
svchost.exe userinit.exe services.exe winlogon.exe alg.exe lsass.exe spoolsv.exe ,,,,,,, etdns.exe ). - Autoriser les applications signées par McAfee : autorise le trafic réseau entrant et sortant lié à nos produits en fonction de la valeur de certificat du signataire.
- Autoriser McAfee-applications signées 2 : autorise le trafic réseau entrant et sortant lié à nos produits en fonction de la valeur de certificat du signataire.
- Autoriser les applications signées McAfee 3 : autorise le trafic réseau entrant et sortant lié à nos produits en fonction de la valeur de certificat du signataire.
- Autoriser McAfee-applications signées 4-autorise le trafic réseau entrant et sortant lié à nos produits en fonction de la valeur de certificat du signataire.
- Autoriser le trafic ICMPv4 sortant : autorise le trafic réseau sortant lié au protocole de transport ICMPv4.
- Autoriser le trafic ICMPv6 sortant : autorise le trafic réseau sortant lié au protocole de transport ICMPv6.
- Autoriser le trafic DNS sortant : autorise le trafic réseau sortant lié au port UDP hôte distant 53 (port par défaut pour la résolution DNS).
- Autoriser le trafic entrant à partir des adresses IP spéciales : autorise le trafic réseau entrant pour l’adresse 0.0.0.0 IP spéciale (IPv4 et IPv6). Pour plus d’informations, reportez-vous à cet article sur une adresse IP spéciale 0.0.0.0.
- Autoriser le trafic de diffusion et de bouclage sortants : autorise le trafic réseau sortant lié au trafic de diffusion et de bouclageIPv4/IPv6 .
- Autoriser le trafic IP réservé : autorise le trafic réseau entrant et sortant pour le protocole de transport réservé 255 (0xFF). Pour plus d’informations, reportez-vous à cet article sur les numéros de protocole IP.
- Autoriser le trafic BOOTP sortant : autorise le trafic réseau sortant pour le trafic BOOTP et DHCP (port UDP 67 et 68).
- Autoriser le trafic DHCPv6 sortant : autorise le trafic réseau sortant pour le trafic DHCPv6 (port UDP 546 et 547).
Pour les clients qui ne souhaitent pas utiliser ce groupe de règles de pare-feu, ENS permet de les désactiver via la stratégie ePolicy Orchestrator (ePO) ou la configuration locale. Lorsque vous activez la fonctionnalité de désactivation de "McAfee les règles de réseau de base", la désactivation du message conMenu McAfee les règles de réseau de base peuvent perturber les communications réseau sur le serveur ePO et la console client ens locale. Ce message signale les problèmes potentiels de perturbation du réseau. Si vous désactivez ce groupe de règles de pare-feu, vous pouvez (même si cela n' est pas garanti) rencontrer des problèmes de communication réseau. Ces règles de pare-feu autorisent des processus de Windows critiques et le trafic réseau associé. S’ils sont désactivés, cela peut affecter les fonctionnalités ou fonctionnalités associées à ces processus. Par exemple, les travaux d’impression, l’interaction avec les serveurs DNS et les connexions utilisateur. Effectuez des tests approfondis si cette fonctionnalité est activée pour s’assurer qu’il n’y a aucun problème.
Une autre raison importante est d’empêcher le pare-feu ENS de bloquer Trellix Agent (TA) et d’autres trafics réseau de produits. Si un problème de stratégie de pare-feu se produit, par exemple, une stratégie mal implémentée ou corrompue, le pare-feu ENS doit toujours autoriser les communications TA au serveur ePO pour obtenir de nouvelles mises à jour de stratégies et résoudre les problèmes liés aux stratégies. Si le pare-feu ne dispose pas de cette fonctionnalité, les alternatives potentielles seraient double. Le pare-feu peut bloquer de manière permanente le serveur ePO et les mises à jour de stratégies et de communication TA, ou ne pas autoriser le système à se connecter à un réseau. L’une des alternatives peut nécessiter une intervention manuelle du système local pour remédier à ce problème.
Une fois que j’ai activé la fonctionnalité "désactiver McAfee règles de réseau de base", pourquoi toutes les règles de pare-feu dans le groupe de mise en réseau McAfee Core ne sont-elles pas désactivées ?
Ce comportement est dû à la conception même du modèle. Le groupe principal de mise en réseau de base est toujours activé, tandis que certaines règles de pare-feu sont désactivées. Toutefois, les autres règles de pare-feu critique ne sont pas désactivées. Cette conception consiste à empêcher le pare-feu ENS de bloquer les types spécifiques suivants de trafic réseau application et non-application qui peuvent potentiellement provoquer des pannes majeures. Par exemple, un système incapable de se connecter ou d’obtenir une adresse IP à partir du réseau local est le suivant :
- Toujours autoriser les communications réseau pour TA et d’autres applications Trellix-signées.
- Toujours autoriser le trafic réseau ARP.
- Autorisez toujours le trafic BOOTP et DHCP (port UDP 67 et 68) pour les systèmes afin d’obtenir une adresse IP dynamiquement (si vous n’utilisez pas d’affectations d’adresses IP statiques).
Les règles suivantes ne sont pas désactivées :
- Autoriser le trafic ARP
- Autoriser les applications signées par McAfee
- Autoriser les applications signées McAfee 2
- Autoriser les applications signées McAfee 3
- Autoriser les applications signées McAfee 4
- Autoriser le trafic BOOTP sortant
Actuellement, la modification de ces règles n’est pas une fonctionnalité disponible. Vous pouvez activer ou désactiver uniquement le groupe de règles de pare-feu (avec les limitations indiquées ci-dessus).
Si j’active la fonctionnalité "désactiver McAfee les règles de réseau de base", quels problèmes peuvent survenir ?
La désactivation de ce groupe de règles de pare-feu risque de provoquer le blocage de certains trafics réseau pour les processus critiques. Les modifications de configuration du pare-feu peuvent être nécessaires dans la stratégie options de pare - feu ou règles de pare-feu . Les modifications varient en fonction du type de trafic réseau bloqué et de la manière dont vous souhaitez autoriser le trafic réseau. Par exemple, si vous souhaitez créer des règles de pare-feu spécifiques pour autoriser le trafic, ou l’autoriser par des règles de réseau approuvé ou des réseaux définis (approuvés) de type exécutable approuvé générique.
Dois-je désactiver le groupe de gestion de réseau principal à des fins de test ou d’utilisation de production ?
Certains clients peuvent souhaiter contrôler plus étroitement le trafic réseau via des règles de pare-feu. Par exemple, autoriser le trafic DNS vers des adresses IP de serveur DNS spécifiques uniquement. Par conséquent, la désactivation du groupe de mise en réseau central est une option. Mais nous vous déconseillons de désactiver les règles de réseau de base. Cela peut provoquer des problèmes de communication réseau sur le client, comme indiqué dans le message contextuel qui s’affiche lorsque vous activez cette fonctionnalité dans l’interface utilisateur :
Tenez compte du type de problème qui peut se produire lorsque ces règles de pare-feu de groupe de réseau principal sont désactivées. Assurez-vous d’effectuer des tests approfondis avant d’implémenter une stratégie pour laquelle cette fonctionnalité est activée dans les environnements de production. Vous devrez peut-être créer ou modifier des règles de pare-feu pour résoudre les problèmes qui surviennent.
Quels sont les exemples de désactivation des règles de réseau de base McAfee ?
Certains types de trafic réseau sont autorisés à passer par ces règles de réseau de base. reportez-vous aux exemples ci-dessous. Si vous devez contrôler ces types de trafic réseau, vous pouvez désactiver les règles de réseau central McAfee. Toutefois, comme indiqué ci-dessus, veillez à ce que cela (la désactivation des règles de mise en réseau de base ne soit pas recommandé) et effectuez des tests approfondis avant l’implémentation de l’environnement de production.
- NetBIOS/SMB sortant (par exemple, les ports TCP/UDP 137 à 139 et 445) et ICMP (par exemple, "le trafic ping") le trafic réseau est autorisé via la "autoriser les applications système sortantes", car ce trafic communique via le processus système (PID4).
- Le trafic réseau DNS sortant (port UDP 53) est autorisé via la règle "autoriser le trafic DNS sortant".
- Dans la McAfee Default stratégie règles de pare-feu, il existe une copie de ces règles de réseau de base McAfee que vous pouvez dupliquer si nécessaire. Toutefois, la modification de ce groupe de règles n’a pas d’incidence sur les règles de réseau de base codées en dur McAfee sur le client ens.
- Certaines de ces règles de pare-feu ne sont pas nécessaires (après avoir été dupliquées), car la version codée en dur de la règle ne peut pas être désactivée. (Voir "Quelles règles de pare-feu de réseau Core ne sont pas désactivées lorsque j’active la fonctionnalité" désactiver McAfee règles de réseau central " ? "ci-dessus.)
- Sachez que vous devez supprimer la règle autoriser le trafic entrant à partir d’adresses IP spéciales , car l’adresse IP spéciale qu’il utilise n’est pas valide dans les 0.0.0.0 règles de pare-feu personnalisées (c’est pourquoi il s’agit d’une règle de réseau central codé en dur).
Informations connexes
Pour plus d’informations sur la configuration des fonctionnalités de pare-feu ENS, reportez-vous à la section Guide produit de Endpoint Security.
Remarque : Le Forum idées remplace le système de demande d’amélioration de produit précédent.
Pour les documents relatifs aux produits, accédez au portail de la documentation produit.
Pour soumettre une nouvelle idée de produit, accédez à la page des idées produit client entreprise.
Cliquez sur connexion et saisissez votre ID d' utilisateur et votre mot de passe ServicePortal . Si vous ne disposez pas encore d’un compte ServicePortal ou d’un compte de communauté, cliquez sur Enregistrer pour vous inscrire pour un nouveau compte sur l’un des sites Web.
Pour plus d’informations sur les idées de produits, voir la section l’article kb60021-Comment soumettre une idée de produit.
Cliquez sur connexion et saisissez votre ID d' utilisateur et votre mot de passe ServicePortal . Si vous ne disposez pas encore d’un compte ServicePortal ou d’un compte de communauté, cliquez sur Enregistrer pour vous inscrire pour un nouveau compte sur l’un des sites Web.
Pour plus d’informations sur les idées de produits, voir la section l’article kb60021-Comment soumettre une idée de produit.
Remarque : Le Forum idées remplace le système de demande d’amélioration de produit précédent.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
Produits affectés
Langues :
Cet article est disponible dans les langues suivantes :