Dit document beschrijft belangrijke aandachtspunten voor de installatie van Deep Defender. Ook omschrijft dit document hoe de beheerder kan omgaan



Vergelijkbare documenten
Dit document beschrijft belangrijke aandachtspunten voor de installatie van Deep Defender. Ook omschrijft dit document hoe de beheerder kan omgaan

Handleiding voor snelle installatie

Installatie King Task Centre

Inhoudsopgave: Whisper380-computerhulp

Upgrade EEPC naar Drive Encryption 7.1

Gebruikershandleiding

Handleiding voor installatie en gebruik van

Werking van de Office Connector, en het oplossen van fouten.

HET BESTURINGSSYSTEEM

Inhoudsopgave: Whisper380-computerhulp

Handleiding voor snelle installatie

Windows Troubleshooting

Installatie Handleiding. Twan Wintjes

Gebruiksaanwijzing van de reddingsschijf van BitDefender

Popsy Financials. Overstap Access-MSDE

ICT HANDLEIDING TELEWERKEN. Versie 2010

Handleiding Sportlink Club

IAAS - QUICK START GUIDE

Criminaliteit op internet: Ransomware

Voorbereidende maatregelen: schakel alle beveiligingsprogramma s uit die je geïnstalleerd hebt zoals antivirussoftware, firewall,

MS Virtual pc 2007 Handleiding

Installatiehandleiding. ixperion Word Import. voor Windows 2008 R2 64bit. Smartsite ixperion WordImport Implementatie. Copyright

INSTALLATIE VAN DE BelD KAARTLEZER

Instellen back up Microsoft SQL database Bronboek Professional

Uw PC weer in topconditie!

Kwaadaardige software blokkeert PC s van eindgebruikers en lijkt afkomstig van Ecops, FCCU of een andere buitenlandse politiedienst

Tool Installatiehandleiding E46 Mods. Versie 1.0

Windows Configuratie. yvan vander sanden. 8 maart 2015

ICT HANDLEIDING TELEWERKEN. Versie 2010

Verdelerontwerp- en calculatiesoftware Hagercad. Installatie- en activeringsprocedure

IAAS HANDLEIDING - SOPHOS FIREWALL

SurfRight. Veelgestelde vragen. HitmanPro.Kickstart Veelgestelde vragen Page 1

Midi PDF Bladmuziek lezer

Technote. EnGenius Senao EOM Mesh Layer 2 configuratie Transparant netwerk

ZIVVER Installatiehandleiding

AdmInbox. Installatie Scan Plug-in

Handleiding FileZilla

Selenium IDE Webdriver. Introductie

Summa Cutter Tools. 1 Cutter tools. Met dit programma kunnen twee dingen geïnstalleerd worden:

Voorwoord. Het is niet toegestaan dit document in welke vorm dan ook te delen, door te sturen of aan te passen. Arjan

Priva Blue ID Network scanner / Syslog Tool

Handleiding. vworkspace VGGM. Handleiding voor gebruikers.

Handleiding VirtualBox

Handleiding TAPI Driver

Standaard Asta Powerproject Client Versie 12 Installatiedocument v1

1. Hardware Installatie Installatie van Quasyscan...6 A. Hoe controleren of je een actieve internetverbinding hebt?...6 B.

Oplossen van problemen na een foutieve update van Panda

ISA, Veilig Online. downloaden & installeren. Handleiding. Windows solcon.nl

Comodo Personal Firewall

Installatie King Task Centre

Net2 Entry configuration utility

Nederlandse Culturele Sportbond Afdeling Wedstrijdzwemmen

ershandleiding user guide

Windows 8.1 Update stap voor stap

Inhoudsopgave PC Software installeren... 2 BlackBerry back-up maken of terugplaatsen... 7 BlackBerry resetten... 9 BlackBerry Activeren...

INSTALLATIE VAN UW SOFTWARE OP WINDOWS VISTA OU 7

Installeren van het programma:

Criminaliteit op internet: Ransomware

Op de Virtual Appliance is MySQL voorgeïnstalleerd. MySQL is momenteel de meest gebruikte database op het internet.

Optifile Server Installatie

Om snel een printopdracht te printen kun je gebruik maken van Mobiel Printen. Stuur de mail en bijlage(s) naar

Linux Mint 10 installeren op een pc of laptop.

Opencockpits FMC V3 Handleiding Prosim737

Hoofdstuk 2. Schijfformaten en bestandsformaten

Inhoudsopgave: Inhoudsopgave:... 2 Waar moet uw pc aan voldoen?... 2 De installatie:... 4 De computer gereed maken voor gebruik:...

Beveiligingstips en instellingen voor Windows 7

Fiery Command WorkStation 5.8 met Fiery Extended Applications 4.4

Windows Defender. In dit hoofdstuk leert u:

LCD MONITOR SHARP INFORMATION DISPLAY GEBRUIKSAANWIJZING

ershandleiding user guide

Handleiding ICT. McAfee Antivirus

Standard Parts Installatie Solid Edge ST3

Het installeren van de software.

Linux Server Installatie

Windows 8.1 Update stap voor stap

NIEUWSFLASH

HANDLEIDING VIEW DESKTOP. Handleiding VIEW Desktop. P. de Gooijer. Datum: Versie: 1.3

Installeren driver M-1023Q voor firmware update.

Handleiding. Handleiding

Inhoud Handleiding Steam Steam installeren Steam Key Activeren... 6

Handleiding SteamOS op VirtualBox

Installatie Handleiding TechControl

Veel gestelde vragen nieuwe webloginpagina

TaskCentre Web Service Connector: Creëren van requests in Synergy Enterprise

2. Installatie Welp op een PC met internet verbinding

ISA, Veilig Online. downloaden & installeren. Handleiding. Windows solcon.nl. Powered by

Windows server Wesley de Marie. Wesley

Deze procedure beschrijft de handelingen die verricht moeten worden voor het verbinden van uw laptop met het wireless netwerk van de HU

Update Solid Edge naar Keyshot 8 Solid Edge 2019

Dreambox DM800HD How to: Zenderlijst updaten

Installing XDMS - Client.

Security in het MKB: Windows 10

Boot Camp Installatie- en configuratiegids

SBGuidance 4.x.x Update Manager

Procedure Access - MSDE

MEDIA NAV navigatiesysteem Handleiding voor het downloaden van content via internet

TIPS & TRICKS PASSIVE FALLBACK

Transcriptie:

Dit document beschrijft belangrijke aandachtspunten voor de installatie van Deep Defender. Ook omschrijft dit document hoe de beheerder kan omgaan met Threat meldingen, driver problemen en hoe het product in de basis geconfigureerd kan worden als het gaat om compatibility scans en Boot Component Integrity Scans. Ook geeft het document aan hoe Deep Defender functioneert. Ik zie dat Deep Defender een goede meerwaarde heeft naast traditionele antivirus oplossingen zoals McAfee VirusScan Enterprise welke zich bevinden op het besturingssysteem en daardoor rootkits niet kunnen detecteren en/of kunnen opschonen. Helaas wordt dit product niet vaak ingezet. Dit komt denk ik simpelweg omdat men het bestaan van het product niet weet. Daarom heb ik besloten dit artikel te plaatsen.

Wat is de meerwaarde van McAfee Deep Defender en waarom wil ik dit inzetten? McAfee Deep Defender is een oplossing tegen root- en bootkits dat gebruikt maakt van Intel Virtualization Technology welke terug te vinden is in de Intel Core i3, i5 en i7 processoren. De tool maakt gebruik van McAfee DeepSAFE technologie is in samenwerking met Intel ontwikkeld. DeepSAFE technologie gaat verder dan alleen het beveiliging in het besturingssysteem. DeepSAFE werkt in samenspel met Intel Virtualisation Technology om de MDR, BIOS en UEFI firmware te monitoren. Verder worden calls naar de Kernel API gemonitord om potentieel kwaadaardige handelingen te detecteren en in sommige gevallen tegen te houden. Een rootkit of bootkit is malware dat zich verstopt in de kernel van een besturingssysteem. Door in de kernel te functioneren is de software vanaf dat punt in staat elke request vanuit het besturingssysteem af te vangen. Stel een antivirus scanner wil een bestand scannen, dan vraagt deze aan de harddisk het bestand op om deze vervolgens te scannen. Een rootkit is in staat om deze aanvraag af te vangen en een ander bestand of niets terug te sturen. Dit kan met alle aanvragen vanuit het besturingssysteem. Rootkits en bootkits worden vaak gebruikt om andere malware te verstoppen, zowel de processen als bestanden kunnen verborgen worden. Een praktijk voorbeeld: Een gebruiker krijgt een phishing email waarbij een link naar een website wordt aangeboden. De gebruiker klikt op de link en een onbekende rootkit Trojan download op de achtergrond. Normaal probeert de rootkit zich te verstoppen in de kernel als een boot driver. McAfee DeepSAFE ziet dat de rootkit in het geheugen probeert te laden. Vervolgens informeert McAfee DeepSAFE de McAfee Deep Defender agent en word de rootkit tegengehouden.

Deep Defender bestaat nu al langer maar het was niet direct duidelijk hoe het werk en wanneer Deep Defender wordt ingeladen? Want de eerst uitgevoerde code kan alles wat daarna geladen wordt aanpassen of verwijderen. Het is dus van belang zo vroeg mogelijk gestart te worden, om die reden heeft DearBytes gekeken naar de BIOS en MBR. Het proces werkt globaal gezien als volgt: 1. Systeem start op voert BIOS uit; 2. BIOS laad MBR in het geheugen en voert deze uit; 3. MBR laad OS loader in het geheugen en voert deze uit; 4. OS loader laad kernel, boot drivers en voert deze uit; 5. Kernel initialiseert kernel drivers en usermode en uiteindelijk de McAfee Deep Defender Agent. Deep Defender wordt door de OS loader als eerste geladen, op die manier kunnen kwaadaardige drivers die daarna geladen worden tevens gedetecteerd worden. Deze later geladen drivers zijn namelijk niet in staat te Deep Defender voortijdig aan te passen. Vanaf dit punt monitort de driver verschillende call s die vanuit andere drivers en usermode worden uitgevoerd. Wanneer een call mogelijk kwaadaardig is wordt dit gemeld via de Deep Defender agent in Windows zelf. Het is nu redelijk duidelijk hoe Deep Defender vanuit kernel mode de resterende drivers en acties analyseert. De vraag blijft waarom hiervoor een Intel i3, i5 of i7 voor nodig is, een specifieke requirement is de Intel VT-x. VT-x wordt gebruikt om virtualisatie mogelijk te maken, het is dus mogelijk dat dit wordt ingezet om een virtual machine de daadwerkelijke evaluatie te laten doen van de door de drivers gekenmerkte calls. Een andere optie is dat een virtual machine wordt ingezet om bepaalde rules en signatures in te laden, zo wordt voorkomen dat er te veel intelligentie in de drivers moet worden ingebouwd en dat de driver onderhevig zijn aan regelmatig updaten. DearBytes heeft de volgende risico s in kaart gebracht waarmee het alsnog mogelijk zou zijn om een rootof bootkit uit te voeren op een systeem met McAfee Deep Defender. Wanneer de aanvaller toegang heeft tot het fysieke systeem en er geen full-disk encryptie wordt toegepast is het mogelijk de master boot record aan te passen. Omdat deze eerder wordt uitgevoerd is het mogelijk de McAfee drivers te patchen zodat deze altijd een ok geven. Risico twee is wanneer de gebruiker Deep Defender installeert en er al een rootkit actief is op het systeem. Deze rootkit moet dat wel Deep Defender aware zijn dat houdt in dat deze tijdens het installatie proces Deep Defender patcht of de installatie onmogelijk maakt. Als laatste maakt Deep Defender gebruik van heuristics om te bepalen of een bepaalde operatie ongewest is of niet. Het is mogelijk dat er een combinatie van operaties denkbaar is die door Deep Defender niet gezien worden als ongewenst maar wel eenzelfde resultaat teweeg brengt. Het is te verwachten dat naarmate meer workarounds worden gevonden een update van Deep Defender weer meer mogelijkheden biedt.

Implementatie Tips: Gebruik altijd full-disk encryptie in combinatie met Deep Defender, op deze manier kan worden gegarandeerd dat derden niet in staat aanpassingen te doen aan het systeem door de harde schijf te stelen. Installeer Deep Defender altijd op een schoon systeem, hoewel het onwaarschijnlijk is dat er Deep Defender aware rootkits zijn is de mogelijkheid niet uit te sluiten. Bronnen: http://www.intel.com/content/dam/www/public/us/en/documents/white-papers/mcafee-deep-defender-deepsafe-rootkit-protection-paper.pdf https://kc.mcafee.com/resources/sites/mcafee/content/live/product_documentation/24000/pd24172/en_us/deepdefender_1_6_0_product_gd.pdf http://igorkorkin.blogspot.nl/2012_07_01_archive.html http://www.esecurityplanet.com/windows-security/review-mcafee-deep-defender.html

Installeer de volgende packages en extensie: Voor het managen van Deep Defender dient een extensie te worden ingecheckt. Ga naar Menu Software Extensions. Check het extensie DDExtensions.zip in. LET OP! McAfee heeft een nieuw extensie uitgebracht voor Deep Defender welke enkele problemen oplost. Check de extensie DeepDefenderMETA.zip in. Deze extensie is te vinden op de download site van McAfee. Om Deep Defender software te kunnen installeren op systemen dient software in het Master Repository geplaatst te worden. Ga naar Menu Software Master Repository. Check het product package DDAgent.zip in. De software kan vanaf de McAfee download site gedownload worden. Ga naar www.mcafee.com/us/downloads/

Er zijn verschillende policies beschikbaar voor Deep Defender. Ik ga op enkele settings dieper in omdat zij een belangrijke impact hebben wanneer Deep Defender voor het eerst geïnstalleerd wordt op een systeem.

Het kan voorkomen dat Deep Defender een legitieme driver blokkeert waardoor een systeem kan crashen en een Blue Screen krijgt. Wanneer je de computer opnieuw opstart zal de driver weer geblokkeerd worden en het systeem dus weer een Blue Screen krijgen. McAfee heeft hiervoor als oplossing bedacht namelijk de optie Clear IBP mode. In de General policy staat de optie Clear IBP mode standaard uit. IBP (Infinite blue screen of death (BSOD) prevention) Indien Indien de Clear IBP mode optie aan staat kan automatisch Deep Defender uitgezet worden bij Driver problemen. De driver wordt standaard geblokkeerd maar zal bij de vierde keer de driver wel toegestaan omdat Deep Defender automatisch in disabled mode opgestart wordt. Hierdoor kan het systeem weer netjes optarten. Het is een verstandige keuze bij een nieuwe installatie van Deep Defender de optie aan te zetten. Nadat systemen succesvol zijn voorzien van Deep Defender software en eventueele drivers aan de Whitelist Drivers policy zijn toegevoegt kan de optie weer door de beheerder uitgezet worden.

Indien de gebruiker driver problemen ervraart en Deep Defender automatisch uitgezet is op het systeem kan de gebruiker er voor kiezen om zelf de Deep Defender protectie weer aanzetten nadat de beheerder de driver op de Whitelist gezet heeft. Dit kan op het systeem via het SysTray menu optie.

De beheerder heeft de mogelijkheid om de legitieme driver netjes aan de Whitelist Drivers lijst toe te voegen. Een hash kan via een Hash tool gemakkelijk achterhaald worden. Een voorbeeld is de tool Hash My Files from Nirsoft. http://www.nirsoft.net/utils/hash_my_files.html. Indien de beheerder een verdachte bestand ziet(threat event) omdat de hash niet klopt kan via de McAfee Getsusp Tool het bestand nagegaan worden. GetSusp kan hier gedownload worden: http://www.mcafee.com/us/downloads/free-tools/getsusp.aspx

De beheerder kan onder andere via de Monitor Deep Defender Grouped Threat Events Report zien welke drivers toegestaan of tegen gehouden worden. Het monitor is te vinden onder het dashboard Deep Defender Overview.

Voordat de beheerder Deep Defender gaat uitrollen naar systemen kan eerst via de Compatibility tester gemakkelijk achterhaald worden welke systemen compatible zijn voor Deep Defender. Hiervoor dient een Client taak van het type Product Deployment aangemaakt te worden waarbij een extra command line parameter meegegeven dient te worden. Hierdoor installeert de taak het product niet maar kunnen wel checks plaatsvinden op systemen. 1. Klik op Menu Systems System Tree, selecteer een groep in het System Tree. 2. Klik op de Assigned Client Tasks tab, knop Actions, then select New Client task Assignment Het Client Task Assignment builder scherm opent. A Selecteer Product McAfee Agent en Selecteer Task Type Product Deployment B Klik onder Task Name op Create New Task. C Noem de taak Compatibility report Deep Defender. 3. In de Configuration pagina onder Target, selecteer Windows platform. 4. Onder Products and components drop down lijst, select McAfee Deep Defender 1.6.0 als Product en selecteer Install als actie. 5. In the command line option, type report. 6. Schedule en save de taak.

Het installeren van Deep Defender kan gemakkelijk via een Client taak van het type Product Deployment. 1. Klik op Menu Systems System Tree, selecteer een groep in het System Tree. 2. Klik op de Assigned Client Tasks tab, knop Actions, then select New Client task Assignment Het Client Task Assignment builder scherm opent. A Selecteer Product McAfee Agent en Selecteer Task Type Product Deployment B Klik onder Task Name op Create New Task. C Noem de taak Install Deep Defender. 3. In de Configuration pagina onder Target, selecteer Windows platform. 4. Onder Products and components drop down lijst, select McAfee Deep Defender 1.6.0 als Product en selecteer Install als actie. 5. Schedule en save de taak.

Voer de standaard compatibility tester report uit vanaf de Queries pagina om een overzicht van ondersteunde systemen weer te geven. 1 Klik op Menu Reporting Queries om de Queries pagina te openen. 2 selecteer McAfee Groups McAfee Deep Defender. 3 Selecteer de query Deep Defender Compatibility Report en klik op Actions Run. Natuurlijk kan via het dashboard ook het Deep Defender Compatibility Report ingezien worden.

Wanneer de Boot Component Integrity scan taak aangemaakt wordt kan de hash waarde van de MBR en BIOS tegen de whitelist gehouden worden om na te gaan of er aanpassingen zijn geweest. Deploy the McAfee compatibility tester application 1. Klik op Menu Systems System Tree, selecteer een groep in het System Tree. 2. Klik op de Assigned Client Tasks tab, knop Actions, then select New Client task Assignment Het Client Task Assignment builder scherm opent. A Selecteer Product McAfee Deep Defender 1.6.0, en Selecteer Task Type Boot Component Integrity Scan B Klik onder Task Name op Create New Task. C Noem de taak Deep Defender Boot Component Intergrity Scan. 3. In de Configuratie kunnen de opties Enable BIOS Intergrity Monitoring en Enable MBR Intergrity Monitoring worden aangezet. 4. Schedule en save de taak. Boot Component Integrity Scan Reporten inzien 1 Klik op Menu Reporting Queries om de Queries pagina te openen. 2 selecteer McAfee Groups McAfee Deep Defender. Er zijn meerdere rapporten beschikbaar namelijk; - BCIM Grouped by BIOS Hash, BCIM Grouped by BIOS Version, BCIM Grouped by BIOS Whitelist Status, BCIM Grouped by MBR Hash en BCIM Grouped by MBR Whitelist Status. 3 Selecteer de query en klik op Actions Run.

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback