Справка HIPS
Используйте это диалоговое окно для создания и изменения настроек HIPS (файл конфигурации). При создании настроек HIPS сначала определяется общие требования и действия, а затем добавляются конкретные сертификации файлов. Можно создать любое количество настроек HIPS, а также изменять их в любое время.
Если требуется изменить настройки HIPS по умолчанию для устройства без переустановки агента HIPS или повторного развертывания полной конфигурации агента, внесите необходимые изменения в любые из параметров в данном диалоговом окне настроек, назначьте новые настройки задаче изменения настроек и затем выполните развертывание этой задачи изменения настроек на целевых устройствах.
В этом диалоговом окне находятся следующие страницы:
- Информация о системе HIPS (About the HIPS): страница "Общие настройки" (General settings)
- Информация о системе HIPS (About the HIPS): страница "Конфигурация режима" (Mode configuration)
- Информация о системе HIPS (About the HIPS): страница "Правила защиты файлов" (File protection rules)
- Информация о системе HIPS (About the HIPS): Информация о системе HIPS: диалоговое окно "Настройка правила защиты файлов" (Configure file protection rule)
Информация о системе HIPS (About the HIPS): страница "Общие настройки" (General settings)
Используйте данную страницу, чтобы задать общие настройки защиты и действия для системы HIPS.
На этой странице находятся следующие параметры:
- Имя (Name): Уникальное имя для настроек HIPS. Это имя отображается в списке настроек HIPS в диалоговом окне задачи установки или обновления компонентов безопасности.
- Настройки защиты (Protection settings): Существует два типа защиты: HIPS и белый список. Можно выбрать как один, так и оба этих типа. Оба типа защиты используют один режим работы, который выбирается на странице "Конфигурация режима" (Mode configuration). (ПРИМЕЧАНИЕ: Для этого общего порядка реализации защиты существует одно исключение. Если указать для защиты режим обучения и выбрать только параметр обучения для белого списка, то обучение ведется только по приложениям из белого списка, а для защиты HIPS устанавливается режим автоматической блокировки.)
- Включение компонента предотвращения нарушения доступа к узлу (Enable host intrusion prevention): Включение защиты с использованием системы HIPS. Этот параметр разрешает запуск всех программ (кроме случаев, когда работа программы угрожает безопасности системы) в соответствии с предварительно заданными правилами защиты. Файлам программ можно предоставлять специальные права с помощью списков доверенных файлов, настраивая пользовательские сертификации файлов. Функция защиты HIPS отслеживает поведение приложений (разрешено ли приложению изменять другой исполняемый файл, изменять реестр и т. д.) и применяет правила безопасности.
- Использовать защиту от переполнения буфера (Use Buffer Overflow Protection): Защита устройств от эксплойтов памяти системы, которые позволяют использовать в своих целях программу или процесс, ожидающие ввода данных пользователем.
ПРИМЕЧАНИЕ. Защиту от переполнения буфера можно включить на устройстве под управлением 32-разрядной ОС Windows независимо от того, поддерживает ли его процессор технологию запрета/выключения выполнения NX/XD (No eXecute/eXecute Disable). Если процессор не поддерживает технологию NX/XD, то она эмулируется. Если же процессор поддерживает технологию NX/XD, но она выключена в BIOS или конфигурации загрузки, включить защиту от переполнения буфера нельзя. Обратите внимание на то, что клиент Endpoint Security отображает сведения о том, включена ли защита от переполнения буфера на устройстве конечного пользователя. Защита от переполнения буфера не поддерживается на устройствах под управлением 64-разрядной ОС Windows, поскольку компонент защиты ядра от изменений Kernel Patch Protection (KPP) препятствует исправлению ядра.
ВАЖНО! Мы настоятельно рекомендуем сначала проверить работу защиты от переполнения буфера в используемых конфигурациях оборудования и только после этого выполнять широкомасштабное развертывание на управляемые устройства в сети. Некоторые конфигурации с определенными процессорами (до Pentium 4 с технологией HT или HyperThreading), работающие под управлением определенных версий ОС Windows, могут не полностью поддерживать защиту от переполнения буфера.
- Использовать защиту от переполнения буфера (Use Buffer Overflow Protection): Защита устройств от эксплойтов памяти системы, которые позволяют использовать в своих целях программу или процесс, ожидающие ввода данных пользователем.
- Включить защиту с помощью белого списка (Enable whitelist protection): Если этот параметр установлен, разрешается запуск только тех приложений, которые указаны в списке доверенных файлов и в сертификации файлов которых включен параметр разрешения выполнения.
- Запретить использовать Windows для изменения или удаления исполняемых файлов (Проводник Prevent Windows Explorer from modifying or deleting executable files): Этот параметр используется если необходимо запретить использовать Windows для изменения или удаления исполняемых файлов.
- Включение компонента предотвращения нарушения доступа к узлу (Enable host intrusion prevention): Включение защиты с использованием системы HIPS. Этот параметр разрешает запуск всех программ (кроме случаев, когда работа программы угрожает безопасности системы) в соответствии с предварительно заданными правилами защиты. Файлам программ можно предоставлять специальные права с помощью списков доверенных файлов, настраивая пользовательские сертификации файлов. Функция защиты HIPS отслеживает поведение приложений (разрешено ли приложению изменять другой исполняемый файл, изменять реестр и т. д.) и применяет правила безопасности.
- Действие для выполнения (Action to take): Определение действия, выполняемого при добавлении программы в папку запуска для устройства. Этот параметр представляет собой второй уровень защиты в отношении авторизации процессов в системной папке автозагрузки. Система HIPS отслуживает содержимое запуска и при обнаружении нового процесса выполняет выбранное действие ("Предупредить и запросить действие" (Alert and prompt for action), "Всегда разрешать выполнять программы" (Always allow the program to run) или "Удалять из автозагрузки без предупреждения" (Remove from startup without alerting)).
- Установить по умолчанию (Set as default): Назначение данной настройки в качестве используемой по умолчанию для задач, использующих настройки HIPS.
- ИД (ID): Идентификатор данной настройки. Эти сведения хранятся в базе данных и могут использоваться для отслеживания каждой из настроек.
- Сохранить (Save): Сохранение изменений и закрытие диалогового окна.
- Отмена (Cancel): Закрытие диалогового окна без сохранения изменений.
Информация о системе HIPS (About the HIPS): страница "Конфигурация режима" (Mode configuration)
Используйте данную страницу для настройки режима работы защиты HIPS.
На этой странице находятся следующие параметры:
- Режим предотвращения нарушения доступа к узлу (Host intrusion prevention mode): Указание режима защиты, используемого при включении защиты HIPS. Когда режим HIPS включен, вы можете выбрать один из следующих методов.
- Блокировка (Blocking): Блокировка нарушений безопасности и отключение их регистрации в файле журнала действий на главном сервере.
- Изучение (Learning): Разрешены все нарушения безопасности приложений, но при этом отслеживается (или изучается) поведение приложений, а полученные сведения отправляются назад в базу данных главного сервера в список доверенных файлов. Используйте этот режим работы для обнаружения поведения приложений на конкретном устройстве или наборе устройств, а затем используйте полученные сведения для настройки политик HIPS перед развертыванием и внедрением защиты HIPS в сети.
- Только ведение журнала (Log only): Блокировка нарушений безопасности и отключение их регистрации в файле журнала действий на главном сервере.
- Скрытая (Silent): Блокировка нарушений безопасности и ОТКЛЮЧЕНИЕ их регистрации в файле журнала действий на главном сервере.
- Режим белого списка (Whitelist mode): Указывает действия защиты, используемые после включения защиты с помощью списка разрешений. Защита с помощью белого списка означает, что разрешается запуск только тех приложений, которые указаны в списке доверенных файлов и назначены белому списку (приложения, в сертификации файлов которых включен параметр разрешения выполнения). Когда режим использования белого списка включен, вы можете выбрать один из следующих методов.
- Блокировка (Blocking): Блокировка нарушений безопасности и отключение их регистрации в файле журнала действий на главном сервере.
- Изучение (Learning): Разрешены все нарушения безопасности приложений, но при этом отслеживается (или изучается) поведение приложений, а полученные сведения отправляются назад в базу данных главного сервера в список доверенных файлов. Используйте этот режим работы для обнаружения поведения приложений на конкретном устройстве или наборе устройств, а затем используйте полученные сведения для настройки политик HIPS перед развертыванием и внедрением защиты HIPS в сети.
- Только ведение журнала (Log only): Блокировка нарушений безопасности и отключение их регистрации в файле журнала действий на главном сервере.
- Скрытая (Silent): Блокировка нарушений безопасности и ОТКЛЮЧЕНИЕ их регистрации в файле журнала действий на главном сервере.
Информация о системе HIPS (About the HIPS): страница "Правила защиты файлов" (File protection rules)
Используйте данную страницу для просмотра правил защиты файлов, управления ими и назначения им приоритетов. Правила защиты файлов представляют собой набор ограничений, которые предотвращают выполнение исполняемыми программами определенных действий над заданными файлами. С помощью правил защиты файлов можно разрешать и запрещать осуществление любой программой доступа, изменения, создания и выполнения по отношению к любому файлу.
В этом диалоговом окне находятся следующие параметры:
- Правила защиты (Protection rules): Отображение списка предварительно заданных (используемых по умолчанию) правил защиты файлов, предоставленных LANDesk, а также всех созданных вами правил защиты файлов.
- Имя правила (Rule name): Идентификация правила защиты файлов.
- Ограничения (Restrictions): Отображение определенных действий программ над файлами, которые ограничены правилом защиты файлов.
- Программы (Programs): Отображение исполняемых программ, защищенных правилом защиты файлов.
- Вниз\Вверх (Move Up \ Down): Определение приоритета правила защиты файлов. Чем выше правило защиты файлов расположено в списке, тем больший приоритет оно имеет. Например, можно создать правило, ограничивающее для программы доступ к определенному файлу или типу файлов и их изменение, а затем создать другое правило, которое разрешает исключение из указанного ограничения для одной или нескольких программ. Пока второе правило находится в списке выше первого, оно применяется.
- Сброс (Reset): Восстановление предварительно заданных (используемых по умолчанию) правил защиты файлов, предоставленных LANDESK.
- Добавить (Add): Открытие диалогового окна "Настройка правила защиты файлов" (Configure file protection rule), в котором можно добавлять и удалять программы и файлы и задавать ограничения.
- Правка (Edit): Открытие диалогового окна "Настройка правила защиты файлов" (Configure file protection rule), в котором можно изменить существующее правило защиты файлов.
- Исключить (Delete): Удаление правила защиты файлов из базы данных.
NOTE: Правила защиты файлов хранятся в файле FILEWALL.XML, расположенном в: ProgramFiles\Landesk\ManagementSuite\ldlogon\AgentBehaviors\Hips_Behavior.ZIP
Информация о системе HIPS (About the HIPS): Информация о системе HIPS: диалоговое окно "Настройка правила защиты файлов" (Configure file protection rule)
Используйте данную страницу для настройки правил защиты файлов.
В этом диалоговом окне находятся следующие параметры:
- Имя правила (Rule name): Описательное имя правила защиты файлов.
- Отслеживаемые программы
- Все программы (All programs): Запрет всем исполняемым программам выполнять выбранные ниже действия для выбранных ниже файлов.
- Перечисленные программы (Programs named): Применение выбранных ниже ограничений только к перечисленным исполняемым программам.
- Добавить (Add): Выбор программ, ограничиваемых правилом защиты файлов. Можно использовать имена файлов и символы шаблона.
- Правка (Edit): Изменение имени программы.
- Исключить (Delete): Удаление программы из списка.
- Исключения
- Разрешить исключения для сертифицированных программ (Allow exceptions for certified programs): Разрешение исполняемым программам, относящимся к списку сертифицированных файлов, обходить ограничения, связанные с данным правилом защиты файлов.
- Защита файлов
- Любой файл (Any file): Защита всех файлов от указанных выше программ в соответствии с их ограничениями.
- Файлы с именами (Files named): Защита только файлов, указанных в данном списке.
- Добавить (Add): Выбор файла или файлов, защищаемых правилом. Можно использовать имена файлов или символы шаблона.
- Правка (Edit): Изменение имени файла.
- Исключить (Delete): Удаление файла из списка.
- Применить к подкаталогам (Apply to sub-directories too): Распространение действия правил защиты файлов на все подкаталоги указанного каталога.
- Ограничение действий с защищенными файлами
- Доступ для чтения (Read access): Предотвращение доступа указанных выше программ к защищенным файлам.
- Изменение (Modification): Предотвращение внесения изменений указанными выше программами в защищенные файлы.
- Создание (Creation): Предотвращение создания файлов указанными выше программами.
- Выполнение (Execution): Предотвращение запуска защищенных файлов указанными выше программами.