端点安全帮助

使用此对话框（工具 > 配置 > 代理设置 > 端点安全）来创建和编辑端点安全设置。

该对话框包含以下页面。

• 关于“端点安全：常规设置”页面
• 关于“端点安全：数字签名”页面
• 关于“端点安全：默认策略”页面
• 关于“端点安全：“监视的文件夹”页面
• 关于“端点安全：中间修补”页面
• 关于“端点安全自动修补”页面
• 关于端点安全自动修复：触发器页面
• 关于端点安全自动修复：操作页面
• 关于“端点安全高级”页面
• 关于“端点安全：“受信任文件夹”页面
• 关于“端点安全：数字签名”页面
• 关于“端点安全：默认策略”页面

关于“端点安全：常规设置”页面

使用此页面可配置位置感知（信任的网络）和其他访问设置。

• 名称：用唯一的名称来标识设置。
• 管理员：指定管理员密码和选项。
  • 为管理员使用密码：对于配置为采用此端点安全设置的设备，指定所需的密码，以便在受保护的设备上执行特定操作。
  • 允许 Windows 服务控制管理器停止端点安全服务：允许最终用户停止客户端上的“端点安全”服务。
• 客户端界面：指定“端点安全”客户端在受管设备上的显示方式。
  • 在任务栏通知区域显示图标：在客户端界面显示通知区域图标。
  • 显示违规气球提示：如果发生禁用操作，则会在最终用户设备上显示一则消息。
  • 在 Ivanti 管理组中显示开始菜单快捷方式：在“开始”菜单中为“端点安全”客户端显示程序图标（单击开始 > 程序 > Ivanti Management）
• 保存：保存所作的更改，并关闭该对话框。

关于“端点安全：数字签名”页面

使用此页面查看和管理受信任的数字签名应用程序和供应商。

• 不信任数字签名应用程序：不自动信任数字签名应用程序。禁用其余的对话框选项。
• 信任所有数字签名应用程序：自动信任数字签名应用程序。使用此选项时请谨慎。尽管数字签名确实意味着某种程度的可信性，但它并不保证应在您的环境中允许应用程序。
• 信任这些供应商的数字签名应用程序：仅信任您指定的供应商的数字签名应用程序。默认情况下，受信任供应商列表中已有声誉良好的供应商的基本列表。可以使用该列表下的按钮进行修改。
• 搜寻到的供应商：由清单软件扫描器在受管设备上找到的供应商。
• 受信任供应商：要信任的供应商名称。使用通配符来确保供应商名称匹配其数字签名应用程序上显示的各种名称变体。
• 添加、编辑和删除：使用这些按钮来管理供应商列表中的供应商名称。

关于“端点安全：默认策略”页面

使用此页面可配置要启用的安全组件和要用于每个组件的设置。除非先启用某些组件（例如应用程序控件），否则此页面上的某些选项将无法使用。

组件：选择要部署的组件和要用于每个组件的代理设置。

• 应用程序控制：有关详细信息，请参阅应用程序控制概述。
• 权限管理：有关详细信息，请参阅 Environment Manager。
• Ivanti Firewall：有关详细信息，请参阅配置 Ivanti Firewall 设置。
• 设备控制：有关详细信息，请参阅设备控制概述。
• 应用程序文件列表：如果已选择应用程序控制或 Ivanti Firewall 组件，即可编辑此列表。应用程序文件列表有助于确保设备文件系统中的文件不是恶意软件，并且未经篡改。有关详细信息，请参阅使用文件信誉来限制应用程序。

关于“端点安全：“监视的文件夹”页面

使用此对话框来指定受管设备上应监视的文件夹路径。受监视文件夹中包含的所有文件和子文件夹将受到监视。使用安全活动工具的应用程序控制部分（工具 > 安全和遵从性 > 安全活动）来查看关于受监视文件夹的通知。如果有任何端点安全操作需要您的注意，登录到 Endpoint Manager 控制台时也会看到通知。

单击添加并指定要监视的文件夹路径、文件模式、排除以及文件活动。

关于“端点安全：中间修补”页面

使用该页面配置 Endpoint Security 如何处理没有最新修补程序的 Web 浏览器。

在某些情况下，某些浏览器修补程序会导致浏览器中运行的重要业务 Web 应用程序停止按预期工作。若发生这种情况，管理员可选择回滚修补程序，使业务 Web 应用程序能够继续工作。

使用中间修补功能可防止未修补的浏览器访问 Internet 上不受信任的站点。未修补的浏览器是恶意软件感染的主要目标。启用此功能后，Endpoint Security 将自动检测未完全修补的浏览器，并阻止对受信任的站点列表中未配置为受信任网站的任何访问。这将确保最终用户在使用未修补的浏览器时只能访问受信任的站点。

• 监视缺失修补程序的应用程序：选择要监视缺失修补程序的浏览器应用程序。
• 受信任的站点：将站点添加到此列表中，这样，即便浏览器缺少修补程序，也可以访问该站点。您可以按照 IP 地址、IP 范围、子网地址或主机名添加项目。受监视的缺失修补程序的浏览器只能访问此列表中的站点。

关于“端点安全自动修补”页面

自“Ivanti 端点管理 2017.3”开始，Ivanti 软件提供了名为“自动修复”的全新“端点安全”功能，此“自动修复”操作可通过恶意软件、勒索软件和 API 触发。

本部分中的页面可配置恶意软件和勒索软件自动修复。默认禁用自动修复功能。如果要启用自动修复并配置触发器和操作页面，则需要单击自动修复页面上的启用。

请注意，为获得额外的勒索软件保护，可通过安全 > 端点安全 > 应用程序控制下的应用程序控制代理设置限制对物理驱动器的访问并自动检测以及将加密勒索软件列入黑名单。

关于端点安全自动修复：触发器页面

“端点安全”监视主要防病毒软件产品创建的实时日志文件。当这些产品检测到恶意软件时，会将条目写入其日志文件。 然而，不同的供应商利用不同的名称识别恶意软件。因此，需要确定防病毒供应商如何将自己关心的恶意软件写入日志文件。关于关键字，请参阅以下供应商的链接。

• Kaspersky - 恶意软件分类

• Symantec - 恶意代码分类和威胁类型

• McAfee - 威胁库搜索结果

• Trend Micro - 病毒/恶意软件

• Sophos - 高级且有针对性的恶意软件安全 | 面向企业网络和网络威胁的 Sophos ATP

然后，可以在触发器页面上输入以逗号分隔的关键字列表。在防病毒日志中检测到其中某个关键字时，会触发自动修复并执行所配置的操作。

目前支持以下防病毒产品：

• Ivanti Antivirus 2017.3 (Kaspersky Endpoint Security for Windows 10.0 SP1)
• Symantec Endpoint Protection 14
• McAfee VirusScan Enterprise 8.8
• Trend Micro OfficeScan Client 5.0
• Sophos Anti-Virus 5.8

触发后，自动修复会自动发送

• 恶意软件触发：如果希望防病毒日志关键字触发自动修复，请选择此选项。
• 关键字（以逗号分隔）：指定防病毒产品使用的关键字。
• 勒索软件触发：如果希望勒索软件触发自动修复，请选择此选项。
• 由 API 触发：有关详细信息，请参阅 Ivanti 社区中的这篇文档。

关于端点安全自动修复：操作页面

当满足在触发器页面上指定的条件时，会执行此页面上的操作。

• 将设备与网络隔离但允许远程管理：使用 Ivanti 防火墙将设备与除 Ivanti 控制台的管理流量之外的所有流量相隔离。远程控制、软件分发等仍可以工作。
• 关闭或重新启动：强制关闭或重新启动。可以提供一条用户在发生这种情况时会看到但无法推迟或中断关闭或重新启动的消息。
• 运行安全扫描：根据指定的分发和修补程序设置运行安全扫描。
• 部署程序包：部署指定的程序包。这可以是一种辅助修复工具，如 Malwarebytes 产品。

关于“端点安全高级”页面

使用此对话框配置高级安全选项。

• 允许生成安全授权代码：创建安全授权代码，以便允许最终用户在短期内执行被阻止的操作。有关详细信息，请参阅生成安全授权代码。
• 允许 Windows 服务控制管理器停止 Ivanti Endpoint Security 服务：通常情况下，用户不能使用 Windows 服务控制管理器来停止 Ivanti Endpoint Security 服务。如果要允许用户停止服务，请选择此选项。
• 在安全模式下执行 Ivanti Endpoint Security 保护：通常情况下，Windows 安全模式会禁用端点安全。如果要端点安全在安全模式下处于活动状态，请选择此选项。
• 全局热键：指定用于特定“端点安全”功能的热键快捷方式。
  • 跳过设备控制的热键：允许您定义一个热键序列，以允许临时访问受阻止的设备。默认热键为 Ctrl+Shift+F1。要输入需要的热键序列，请将光标置于文本框中，然后以想要的顺序依次按下（并且按住）需要的键。
• 向最终用户提供更多通知
• 保护 Ivanti 文件不被更改

关于“端点安全：“受信任文件夹”页面

使用此对话框来指定受管设备上应视为受信任的文件夹路径。

单击添加并指定文件夹路径以及要为该文件夹及其子文件夹提供的权限。

关于“端点安全高级：数字签名”页面

使用此页面查看和管理受信任的数字签名应用程序和供应商。

• 不信任数字签名应用程序：不自动信任数字签名应用程序。禁用其余的对话框选项。
• 信任所有数字签名应用程序：自动信任数字签名应用程序。使用此选项时请谨慎。尽管数字签名确实意味着某种程度的可信性，但它并不保证应在您的环境中允许应用程序。
• 信任这些供应商的数字签名应用程序：仅信任您指定的供应商的数字签名应用程序。默认情况下，受信任供应商列表中已有声誉良好的供应商的基本列表。可以使用该列表下的按钮进行修改。
• 搜寻到的供应商：由清单软件扫描器在受管设备上找到的供应商。
• 受信任供应商：此列表将显示在“发现的供应商”列表的右侧，同时显示您可以管理的供应商签名以及他们是否受信任。使用通配符来确保供应商名称匹配其数字签名应用程序上显示的各种名称变体。
• 添加、编辑和删除：使用这些按钮来管理供应商列表中的供应商名称。

关于“端点安全高级：应用程序文件列表”页面

如果已选择应用程序控制或 Ivanti Firewall 组件，即可编辑此列表。应用程序文件列表有助于确保设备文件系统中的文件不是恶意软件，并且未经篡改。有关详细信息，请参阅使用文件信誉来限制应用程序。

• 应用程序文件列表：使用“添加”和“编辑”按钮来配置要使用的受信任文件列表。
• 学习列表：将组件设置为学习模式时，学到的文件信息将被添加到此列表。
• 仅将学习活动添加到学习列表：仅更新您指定的学习列表。
• 将学习活动添加到每个已存在相同文件的列表：更新所有已具有所学文件条目的受信任文件列表。
• 自动将数字签名信任的文件添加到应用程序文件列表：应用程序控件查询每次文件执行以检测数字证书是否存在。如果文件拥有有效数字证书，便允许运行。请注意，在默认情况下，LANDesk 和 Ivanti 数字签名的所有进程都是独立于此设置的受信进程。默认已被禁用。
• 启用本地应用程序文件列表：在核心服务器或其他控制台无法管理的计算机上启用本地应用程序文件列表。某些客户可能会发现该功能很有用，但编辑列表时需要对计算机进行物理或远程控制访问。在 Endpoint Security 中查看文件列表时，范围列显示范围是全局还是本地。默认已被禁用。