代理设置:应用程序控制

工具 > 安全和遵从性 > 代理设置 > 安全 > 端点安全 > 应用程序控制

使用此对话框可创建和编辑端点安全 (EPS) 应用程序控制设置(配置文件)。创建 EPS 设置时,首先定义常规要求和操作,然后添加特定的文件认证。可以根据需要创建任意多个 EPS 设置,并可以随时对其进行编辑。

如果您要修改设备的默认 EPS 设置但不重新安装 EPS 代理或重新部署完整的代理配置,请对“EPS 设置”对话框中的任何选项进行所需的更改,将新的设置分配到更改设置任务,然后将该任务部署到目标设备。

该对话框包含以下页面。

关于“常规设置”页面

使用此页面可命名应用程序控制设置。如果需要的话,请选择设置为默认值

关于“应用程序保护”页面

使用此页面可配置 EPS 的常规保护设置和操作。

  • 启用应用程序行为保护:打开 EPS 保护,允许所有程序根据预定义的保护规则运行(除非该程序的操作会威胁系统安全)。您可以通过受信任文件列表配置自定义文件认证,为程序文件授予特殊权限。EPS 保护观察应用程序行为(是否允许应用程序修改其他可执行文件和注册表等)和实施安全规则。
    • 防止加密主引导记录 (MBR):禁止访问主引导记录 (MBR) 有助于防止客户端遭受到会加密 MBR 的勒索软件的攻击。
    • 自动检测加密勒索软件并将其列入拒绝列表:EPS 代理会密切留意加密进程,如果检测到加密进程,EPS 会将其终止、尝试从启动项中移除它并将其添加到拒绝列表。EPS 将尽快地检测加密流程,但有可能某些文件在终止进程前已被加密。我们建议您使用文件保护规则以保护文件,防止其被勒索软件加密。

关于“应用程序保护:文件保护规则”页面

使用此页面可查看、管理文件保护规则并设置其优先级。文件保护规则是一组限制,可阻止指定的可执行程序指定的文件执行特定的操作。通过文件保护规则,可允许或禁止对任何程序或任何文件的访问、修改、创建和执行。

默认情况下启用这些规则:

  • 防止 Word、PowerPoint 和 Excel 文件遭到勒索文件加密:启用后,Endpoint Security 将仅允许 Word、PowerPoint 和 Excel 进程修改 Word、PowerPoint 和 Excel 文件(用户仍可以复制/粘贴这些文件)。如果勒索软件在端点上运行,则无法对这些文件类型进行加密。若发生勒索软件攻击,管理员能够远程控制受感染的设备并将原始文件复制到安全的地方,进而确保更快的恢复速度。最终用户将获得其文件的最新版本,而无需通过原来的备份副本来恢复这些文件。
  • 防止从 Word、PowerPoint 或 Excel 执行脚本:感染端点的常见方式是说服最终用户在 Word 或 Excel 文档中运行宏。在大多数情况下,宏将运行 PowerShell 或其他脚本,将恶意软件下载到设备。启用此功能后,Endpoint Security 将阻止宏启动 PowerShell、Visual Basic 和其他脚本。因此,如果最终用户运行启动脚本的宏,则相关脚本将无法运行,从而阻止了恶意软件的运行。宏本身将继续工作。

这些额外选项在此页面上可用:

  • 保护规则:列出了 Ivanti 提供的所有预定义(默认)文件保护规则,以及您创建的所有文件保护规则。
    • 规则名称:识别文件保护规则。
    • 限制:显示程序对文件执行的由文件保护规则限制的特定操作。
    • 程序:显示由保护规则保护的可执行程序。
  • 上移\下移:确定文件保护规则的优先级 — 列表前面的规则的优先级高于列表后面的规则。例如,您可以创建限制某个程序访问和修改特定文件或文件类型的规则,然后又创建规定该限制不适用于一个或多个指定程序的另一个规则。只要第二个规则位于规则列表的前面,则优先采用该规则。
  • 重置:恢复 Ivanti 提供的预定义(默认值)文件保护规则。
  • 添加:打开“配置文件保护规则”对话框,可在此对话框中添加和删除程序与文件以及指定限制。
  • 编辑:打开“配置文件保护规则”对话框,可在此对话框中编辑现有的文件保护规则。
  • 删除:从核心数据库中删除文件保护规则。

NOTE: 文件保护规则存储在 FILEWALL.XML 文件中,位置为:ProgramFiles\Landesk\ManagementSuite\ldlogon\AgentBehaviors\EPS_Behavior.ZIP

关于“应用程序保护:高级和白名单:高级”页面

使用此页面可配置 EPS 保护的操作模式。

  • 应用程序行为模式:指定启用 EPS 保护时的保护行为。选择以下操作方法之一:
    • 阻止:阻止安全冲突,并将其记录到核心服务器上的操作历史记录文件中。
    • 学习:允许所有违反安全的应用程序行为,但会观察(或学习)应用程序行为,并将该信息返回到核心数据库的“受信任文件列表”中。使用此模式搜寻特定设备或一组设备上的应用程序行为,使用该信息自定义 EPS 策略后,再部署这些策略并在整个网络中实施 EPS 保护。
    • 仅记录:允许安全冲突,并将其记录到核心服务器上的操作历史记录文件中。
    • 静默:阻止安全冲突,并且不会将其记录到核心服务器上的操作历史记录文件中。

关于“白名单”页面

  • 启用允许列表保护:选择此选项后,只有当应用程序处于受信任文件列表中,并且应用程序的文件认证启用了“允许”执行选项时,才允许运行应用程序。
  • 阻止 Windows 资源管理器修改或删除可执行文件:如果您不希望 Windows 能够修改或删除任何可执行文件,则启用此选项。
  • 将“信誉良好”的文件视为处于关联的受信任文件列表中:选择此选项后,自动信任位于 Ivanti 托管的已知良好文件数据库中的文件。有关详细信息,请参阅使用文件信誉来限制应用程序
  • 将“信誉不佳”的文件视为处于拒绝列表中:拒绝访问位于 Ivanti 托管的已知不良文件数据库中的文件。

关于“配置文件保护规则”对话框

使用此页面配置文件保护规则。

  • 规则名称:用描述性名称来标识文件保护规则。
  • 监视的程序
    • 所有程序:禁止所有可执行程序对下面指定的文件执行下面选择的操作。
    • 指定程序:指定只有列表中的可执行程序才应用下面选择的限制。
    • 如果进程位于执行链中则应用:程序可以启动其他程序。如果受监控程序位于执行链中,则应用该规则,即使受监控程序不是访问受保护文件的程序。
    • 允许受信任的文件忽略规则:允许当前属于已认证文件列表的任何可执行程序忽略与该文件保护规则关联的限制。
    • 添加:允许您选择受文件保护规则限制的程序。您可以使用文件名和通配符。
    • 编辑:允许您修改程序名称。
    • 删除:从列表中删除程序。
  • 受保护的文件
    • 所有文件:上面指定的程序根据其限制对所有文件都不能执行任何操作。
    • 指定文件:指定只保护列表中的文件。
    • 添加:允许您选择一个或多个受该规则保护的文件。您可以使用文件名或通配符。
    • 编辑:允许您修改文件名。
    • 删除:从列表中删除文件。
    • 同时应用到子目录:对指定目录的所有子目录实施文件保护规则。
    • 仅应用于从 Internet 下载的文件:只有从 Internet 下载的文件可免遭受监控程序的影响。
  • 受保护文件上的受限操作
    • 读取权限:禁止上面指定的程序访问受保护文件。
    • 修改:禁止上面指定的程序对受保护文件做任何更改。
    • 创建:禁止上面指定的程序创建文件。
    • 执行:禁止上面指定的程序运行受保护文件。