使用文件信誉来限制应用程序
安全和遵从性中的文件信誉功能有助于确保设备的文件系统中的文件不是恶意软件,并且未经篡改。虽然应用程序控制行为保护可以有助于保护受管设备,错误实证仍可以触发合法应用程序,这取决于这些应用程序正在尝试哪些操作。如果使用文件信誉,则可以为已知的具有“良好”信誉(绕过正常的基于行为的应用程序控制)的文件创建单独的应用程序控制行为配置文件。
默认情况下,文件信誉未启用。如果启用文件信誉,则受管设备上的文件的匿名文件信誉信息会安全地发送至 Ivanti 文件信誉云服务器,该服务器可以为此功能的所有用户提高文件信誉精度,以及扩大文件信誉的覆盖范围。
如果启用文件信誉,则设备每次执行应用程序时,代理都会首先检查本地数据库,以查看应用程序文件是否与已知的良好哈希值相匹配。如果不匹配,则代理会向核心服务器发送带有关于这些文件的数据的请求。核心服务器检查其数据库,以查看是否存在有关该文件的信誉的信息。如果不存在,核心服务器会向 Ivanti 云信誉服务器发送请求。如果文件哈希值与云中的结果匹配,则云服务器会向核心服务器和客户端返回有关文件的信誉信息。
文件信誉系统使用文件信息的 Ivanti 云托管数据库,包括名称、大小、元数据和 SHA1 哈希值。大部分文件信誉数据库来自国家软件参考库 (NSRL)。有关详细信息,可以访问其网站:http://www.nsrl.nist.gov/new.html。
文件可以具有以下三种信誉:
•良好:文件与 NSRL 数据库中的条目匹配,或 Ivanti 已收集到足够信息来相信此文件安全可靠。
•差:文件不匹配任何 NSRL 数据库条目,或 Ivanti 已收集到足够信息来相信此文件不安全。
•未定:该文件中没有任何匹配项目,或没有足够的匹配项目来帮助确定文件信誉良好还是差。
在各种因素中,文件信誉算法会考虑匹配文件发生的频率、匹配项已经存在的时间、文件的签名者以及 Endpoint Manager 中允许或阻止这些事件的频率。
要在受管设备上使用文件信誉监视,需要完成以下步骤。
1.下载文件信誉 Ivanti 更新
2.创建使用文件信誉的应用程序控制代理设置
-或-
包括信誉定义作为应用程序文件列表的一部分
3.将设置部署到受管设备
1.单击工具 > 安全和遵从性 > 修补程序和遵从性。
2.单击下载更新工具栏按钮。
3.在定义类型列表中,单击 Ivanti 文件信誉更新。
4.在确认对话框中,阅读用于文件信誉的条款。如果同意这些条款,则单击我同意。单击我不同意会清除 Ivanti 文件信誉更新复选框。
5.单击立即下载或应用按钮。
1.单击工具 > 安全和遵从性 > 代理设置。
2.在代理设置 > 我的代理设置 > 安全 > 端点安全下的树中,右键单击应用程序控制,然后单击新建或双击现有设置。
3.在常规设置页面上,选择处理“良好信誉”文件,就像它们位于相关受信任文件列表中一样。
4.单击“良好信誉”应用程序行为按钮。
5.为具有良好信誉的文件配置所需的应用程序控制和 Ivanti 防火墙行为。
6.单击确定,然后单击保存。
1.单击工具 > 安全和遵从性 > 代理设置。
2.在代理设置 > 我的代理设置 > 安全 > 端点安全下的树中,右键单击应用程序文件列表,然后单击新建或双击现有列表。
3.启用对话框顶部的选项以便在向客户端发送列表时自动包括“良好信誉”文件或在向客户端发送列表时自动包括“不良信誉”文件。
4.如果包括良好信誉文件,请单击“允许的应用程序行为”按钮,为具有良好信誉的文件配置想要的应用程序控制和 Ivanti Firewall 行为。
5.单击确定。
1.单击工具 > 安全和遵从性 > 代理设置。
2.单击配置设置工具栏按钮,然后单击文件信誉。
3.双击要修改的应用程序文件列表或创建新的列表。
4.在应用程序文件列表工具栏上,单击 
并单击通过浏览添加文件或通过输入名称添加区块文件。
5.根据所选的选项,浏览所需的文件并单击保存,或者手动输入文件详细信息并单击确定。
1.在代理设置窗口中,单击创建任务工具栏按钮,然后单击更改设置。
2.根据首选项选择计划任务,或者设置更改任务类型的策略。
3.在设置列表中的端点安全旁边,选择使用配置的应用程序控制设置的端点安全设置。
4.单击确定,并且在计划任务窗口中完成对任务的配置。
1.单击工具 > 安全和遵从性 > 代理设置。
2.单击配置设置工具栏按钮,然后单击文件信誉。要对文件列表进行排序,请使用页面顶部的复选框并单击应用筛选器。
3.选择要更改其信誉的文件并单击覆盖信誉按钮。
4.确保选中覆盖 Ivanti 信誉设置,然后选择所需的信誉。
5.单击确定。
1.单击工具 > 安全和遵从性 > 代理设置。
2.在代理设置 > 我的代理设置 > 安全 > 端点安全下的树中,右键单击应用程序文件列表,然后单击新建或双击现有列表。
3.在应用程序文件列表工具栏上,单击 
并单击从其他应用程序文件列表导入。
4.如有必要,应用筛选器,然后选择要导入的文件。单击下一步。
5.为选择的文件配置想要的应用程序行为,然后单击确定。
6.再次单击确定,保存对应用程序文件列表所做的更改。
1.单击工具 > 安全和遵从性 > 代理设置。
2.在代理设置 > 我的代理设置 > 安全 > 端点安全下的树中,右键单击应用程序文件列表,然后单击新建或双击现有列表。
3.在应用程序文件列表工具栏上,单击 并单击从 .csv 文件导入。
4.浏览包含应用程序文件列表信息的 .csv 文件并单击打开。
5.如有必要,配置导入的文件,然后单击确定。
.csv 文件格式如下所示:
"文件名","文件大小","版本","制造商名称","产品名称","MD5 哈希 base64 字符串","SHA1 字符串","SHA256 字符串","权限"
这里是一个 CSV 条目的示例:
"abc.exe","4032","1.1.0.0","Company-1.","Product1","CWhlIHF1aWNrIGJyb3duIA==","a94a8fe5ccb19ba61c4c0873d391e987982fbbd3", "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08","AuthorizedInstaller AllowExecution BypassBufferOverflow"
允许的权限字符串如下所示:
- AuthorizedInstaller:允许安装文件
- AllowExecution:允许执行文件
- BypassBufferOverflow:绕过缓冲区溢出保护
- ModifyProtRegKeys:修改受保护的注册表项
- ProtAppInMem:保护内存中的应用程序
- ModifyExeFiles:修改可执行文件
- ModifyProtFiles:修改受保护文件
- BypassAllProtection:绕过所有保护
- AddToSysStartup:添加到系统启动
- InheritToChildProc:权限可由子进程继承
- AllowSmtpOut:允许文件发送电子邮件
- AllowNetConnect:允许应用程序连接到受信任范围 (Internet) 之外
- AllowNetListen:允许应用程序在受信任范围 (Internet) 内接受连接
- AllowTrustedNetConnect:允许应用程序在受信任范围内连接
- AllowTrustedNetListen:允许应用程序在受信任范围内接受连接
1.单击工具 > 安全和遵从性 > 代理设置。
2.在代理设置 > 我的代理设置 > 安全 > 端点安全下的树中,右键单击应用程序文件列表,然后单击新建或双击现有列表。
3.在应用程序文件列表工具栏上,单击 并单击从受信任设备导入。
4.选择所需设备,然后单击从指定设备导入文件。
5.如果要对来自这些设备的 .exe 文件进行详尽的扫描,请单击是。
6.如有必要,配置导入的文件,然后单击确定。
1.单击工具 > 安全和遵从性 > 代理设置。
2.在代理设置 > 我的代理设置 > 安全 > 端点安全下的树中,右键单击应用程序文件列表,然后单击合并应用程序文件。
3.选择要作为源列表的应用程序文件列表。
4.选择要合并差异还是替换应用程序文件。
5.选择合并操作的目标列表。
6.单击确定。
要下载文件信誉 Ivanti 更新