Использование репутации файлов для ограничения приложений
Во время проверки безопасности и соответствия функция репутации файлов гарантирует, что файлы в файловой системе устройства не подвержены атакам вредоносного ПО и никто не сможет повредить их. Наряду с тем, как функции управления приложениями для защиты от недопустимых действий, защищают управляемые устройства, ложные срабатывания все равно могут происходить для проверенных приложений, что зависит от самих приложений, на которых эти функции выполняются. Если вы используете файл репутации, у вас есть возможность создать отдельный профиль управления действиями приложения для файлов, имеющих "хорошую" репутацию, который будет игнорировать действие функций управления приложениями.
Функция репутации файлов выключена по умолчанию. Если функция репутации файлов включена, анонимная информация о репутации файлов на управляемых устройствах будет отправляться в безопасном режиме на сервер облачных услуг репутации файлов Ivanti, что повысит аккуратность функции проверки репутации файлов и область ее использования для пользователей.
Если вы включите функцию проверки репутации файлов, каждый раз, когда устройство будет выполнять приложение, агент сначала будет проверять локальную базу данных, чтобы убедиться в том, что файлы приложения соответствуют известным контрольным суммам. Если суммы не совпадают, агент отправит запрос с данными о таких файлах на главный сервер. Главный сервер выполнит проверку в базе данных, чтобы убедиться в наличии информации о репутации файлов. Если таковая не будет найдена, главный сервер направит запрос на сервер репутации файлов Ivanti в облаке. Если контрольные суммы совпадут с данными, хранящимися в облаке, сервер облака возвратит информацию репутации о файлах на главный сервер и клиентское устройство.
Система репутации файлов использует базу данных информации файлов на основе облачных услуг Ivanti, которая содержит имена, размеры, метаданные и контрольные суммы SHA1. В данной версии база данных репутации поступает из библиотеки NSRL (National Software Reference Library). Вы можете посетить следующий web-сайт для получения дополнительной информации: http://www.nsrl.nist.gov/new.html.
Файл может иметь одну из следующих трех репутаций:
•Хорошая (Good): Файл соответствует записи в базе данных NSRL или в Ivanti накоплено достаточно информации о должной безопасности этого файла.
•Плохая (Bad): Данные файла не соответствуют записям в базе данных NSRL или в Ivanti накоплено достаточно информации о небезопасности этого файла.
•Решение не принято (Undecided): Для этого файла не существует никаких данных или недостаточно соответствий для принятия решения о его хорошей или плохой репутации.
Как и другие факторы, алгоритм проверки репутации файлов определяет, как часто проводится проверка соответствия файлов, сколько времени хранятся данные соответствия, кто выполнил подписку файлов и как часто файлы попадали в список разрешений или список блокировок в Endpoint Manager.
Для использования мониторинга репутации файлов на управляемых устройствах необходимо выполнить следующие действия.
1.Загрузите обновления Ivanti для файлов репутации
2.Создайте настройку агента для управления приложениями, которая использует репутацию файлов.
- Или -
Включите определения репутации в виде части списка файла приложений
3.Разверните настройки на управляемых устройствах
1.Щелкните Сервис > Безопасность и соответствие > Исправления и проверка соответствия (Tools > Security and Compliance > Patch and compliance).
2.На панели инструментов нажмите кнопку Загрузить обновления (Download updates).
3.В списке Типы определений (Definition types) щелкните Обновления функции репутации файлов Ivanti (Ivanti File Reputation Updates).
4.В диалоге подтверждения прочитайте условия использования функции репутации файлов. Если вы согласны с ними, щелкните Я согласен (I agree). Выбор Я не согласен (I disagree) снимет флажок параметра Обновления функции репутации файлов Ivanti (Ivanti File Reputation Updates).
5.Нажмите кнопку Загрузить (Download now) или Применить (Apply).
1.Щелкните Сервис > Безопасность и соответствие > Настройки агента (Tools > Security and Compliance > Agent Settings).
2.В области дерева Настройки агента > Настройки моего агента > Безопасность > Endpoint Security (Agent settings > My agent settings > Security > Endpoint Security ) щелкните правой кнопкой мыши Управление приложениями (Application control), а затем Создать (New) или дважды щелкните существующую настройку.
3.На странице Общие настройки (General settings) выберите Использовать "хорошую репутацию" файлов, если они есть в списке доверенных файлов (Treat "good reputation" files as if they are in the associated trusted files list).
4.Нажмите кнопку Действия приложения с "хорошей репутацией ("Good reputation" application behavior).
5.Сконфигурируйте параметры Управление приложениями (Application control) и Брандмауэр Ivanti (Ivanti firewall), которые нужно применять к файлам с хорошей репутацией.
6.Нажмите OK, а затем Закрыть (Close).
1.Щелкните Сервис > Безопасность и соответствие > Настройки агента (Tools > Security and Compliance > Agent Settings).
2.В области дерева Настройки агента > Настройки моего агента > Безопасность > Endpoint Security (Agent settings > My agent settings > Security > Endpoint Security ) щелкните правой кнопкой мыши Списки файлов приложений (Application file lists), а затем Создать (New) или дважды щелкните существующий список.
3.В верхней части диалога включите параметры для автоматического добавления файлов с "хорошей" репутацией для клиентов (Automatically include "good reputation" files when sending list to clients) или автоматического добавления файлов с "плохой" репутацией во время отправки списка для клиентов (Automatically include "bad reputation" files when sending list to clients).
4.Если вы добавляете файлы с хорошей репутацией, нажмите кнопку "Разрешенное действие приложения" (Allowed application behavior) для конфигурации действий Управление приложениями (Application control) и Брандмауэр Ivanti (Ivanti firewall), которые необходимо выполнять для файлов с хорошей репутацией.
5.Нажмите OK.
1.Щелкните Сервис > Безопасность и соответствие > Настройки агента (Tools > Security and Compliance > Agent Settings).
2.На панели инструментов нажмите кнопку Конфигурация настроек (Configure settings), а затем щелкнуть Репутации файлов (File reputations).
3.Нажмите дважды список файлов приложения, который нужно изменить или для создания нового списка.
4.На панели инструментов Список файлов приложения (Application file list) нажмите 
, а затем Выбрать файл (Add file by browsing) или Ввести имя файла (Add block file by inputting name).
5.В зависимости от выбранного варианта выберите нужный файл и нажмите Сохранить (Save) или введите информацию файла вручную и нажмите OK.
1.В окне Настройки агента (Agent settings) нажмите кнопку Создать задачу (Create a task) и выберите Изменить настройки (Change settings).
2.В зависимости от своих предпочтений выберите запланированную задачу или политику для типа задачи с измененными настройками.
3.Затем для данных Endpoint security в списке настроек выберите параметры безопасности конечных систем, которые используют сконфигурированную настройку управления приложениями.
4.Нажмите OK и завершите конфигурацию задачи в окне Запланированные задачи (Scheduled tasks).
1.Щелкните Сервис > Безопасность и соответствие > Настройки агента (Tools > Security and Compliance > Agent Settings).
2.На панели инструментов нажмите кнопку Конфигурация настроек (Configure settings), а затем щелкнуть Репутации файлов (File reputations). Для сортировки списка файлов используйте переключатели в верхней части страницы и нажмите Применить фильтр (Apply filter).
3.Выберите файлы, репутации которых нужно изменить, и нажмите кнопку Перезаписать репутацию (Override reputation).
4.Убедитесь в установке параметра Перезаписать настройку репутации Ivanti (Override Ivanti reputation setting) и выберите Нужная репутация (Desired reputation).
5.Нажмите OK.
1.Щелкните Сервис > Безопасность и соответствие > Настройки агента (Tools > Security and Compliance > Agent Settings).
2.В области дерева Настройки агента > Настройки моего агента > Безопасность > Endpoint Security (Agent settings > My agent settings > Security > Endpoint Security ) щелкните правой кнопкой мыши Списки файлов приложений (Application file lists), а затем Создать (New) или дважды щелкните существующий список.
3.На панели инструментов Список файлов приложения (Application file list) нажмите 
, а затем Импорт из других списков файлов приложений (Import from other application file lists).
4.Примените фильтры, если необходимо, и выберите файлы для импорта. Нажмите Далее (Next).
5.Сконфигурируйте действия приложения, которые нужны для выбранных файлов, и нажмите OK.
6.Нажмите OK еще раз для сохранения изменений списка файлов приложения.
1.Щелкните Сервис > Безопасность и соответствие > Настройки агента (Tools > Security and Compliance > Agent Settings).
2.В области дерева Настройки агента > Настройки моего агента > Безопасность > Endpoint Security (Agent settings > My agent settings > Security > Endpoint Security ) щелкните правой кнопкой мыши Списки файлов приложений (Application file lists), а затем Создать (New) или дважды щелкните существующий список.
3.На панели инструментов Список файлов приложения (Application file list) нажмите , а затем Импорт из .csv (Import from .csv).
4.Выберите файл .csv, содержащий информацию списка файлов приложения, и нажмите Открыть (Open).
5.Если необходимо, сконфигурируйте импортированные файлы нажмите ОК.
Далее представлен формат файла .csv:
"Имя файла" "Размер файла", "Версия", "Производитель", "Название продукта", "Строка контр. суммы MD5", "Строка SHA1", "Строка SHA256", "Разрешения"
Пример записи CSV:
"abc.exe","4032","1.1.0.0","Company-1.","Product1","CWhlIHF1aWNrIGJyb3duIA==","a94a8fe5ccb19ba61c4c0873d391e987982fbbd3", "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08","AuthorizedInstaller AllowExecution BypassBufferOverflow"
Допустимые строки разрешений:
- AuthorizedInstaller: разрешение установки файла
- AllowExecution: разрешение запуска файла
- BypassBufferOverflow: обход защиты от переполнения буфера
- ModifyProtRegKeys: изменение защищенных разделов реестра
- ProtAppInMem: защита приложения в памяти
- ModifyExeFiles: изменение исполняемых файлов
- ModifyProtFiles: изменение защищенных файлов
- BypassAllProtection: обход любой защиты
- AddToSysStartup: добавление в автозагрузку системы
- InheritToChildProc: наследование прав дочерними процессами
- AllowSmtpOut: разрешение отправки эл. почты
- AllowNetConnect: разрешение приложению подключаться к внешней доверенной области (Интернет)
- AllowNetListen: разрешение приложению принимать внешние подключения из внешней доверенной области (Интернет)
- AllowTrustedNetConnect: разрешение приложению подключаться к внутренней доверенной области
- AllowTrustedNetListen: разрешение приложению принимать внутренние подключения из доверенных областей
1.Щелкните Сервис > Безопасность и соответствие > Настройки агента (Tools > Security and Compliance > Agent Settings).
2.В области дерева Настройки агента > Настройки моего агента > Безопасность > Endpoint Security (Agent settings > My agent settings > Security > Endpoint Security ) щелкните правой кнопкой мыши Списки файлов приложений (Application file lists), а затем Создать (New) или дважды щелкните существующий список.
3.На панели инструментов Список файлов приложения (Application file list) нажмите , а затем Импорт из доверенных устройств (Import from trusted devices).
4.Выберите нужные устройства,и нажмите Импорт файлов из указанных устройств (Import files from specified devices).
5.Если вам необходимо выполнить полноценное сканирование файлов .exe на данных устройствах, нажмите Да (Yes).
6.Если необходимо, сконфигурируйте импортированные файлы нажмите ОК.
1.Щелкните Сервис > Безопасность и соответствие > Настройки агента (Tools > Security and Compliance > Agent Settings).
2.В области дерева Настройки агента > Настройки моего агента > Безопасность > Endpoint Security (Agent settings > My agent settings > Security > Endpoint Security) щелкните правой кнопкой мыши Списки файлов приложений (Application file lists), а затем Объединить файлы приложений (Merge application files).
3.Выберите список файлов приложения, который нужно добавить в Исходный список (Source list).
4.Выберите, нужно ли добавить различия или заменить файлы приложения.
5.Выберите целевые списки для операции объединения.
6.Нажмите OK.
Для загрузки обновлений Ivanti лоя репутации файлов: