应用程序控制概述

应用程序控制提供了除修补程序管理、防病毒、防间谍软件及防火墙配置之外的另一层保护,可以防止受管设备上恶意操作的入侵。应用程序控制可以持续监视指定的进程、文件、应用程序和注册表项,从而对未经授权的行为加以防范。您可控制在设备上运行哪些应用程序以及它们的允许执行方式。

由于应用程序控制是基于规则而非基于定义(也即基于特征)的系统,因此它会更有效地保护系统免受零日攻击(在检测和定义隐患以及安装修补程序之前恶意地利用易受攻击的代码)。

应用程序控制保护不同于漏洞检测和修补、间谍软件检测和删除或防病毒扫描和隔离,它不需要进行持续文件更新(例如修补程序文件、定义/病毒码文件或病毒码数据库)。

应用程序控制可在应用程序与操作系统内核之间建立软件代理,从而保护服务器与工作站。这些系统使用预定的基于恶意软件攻击典型行为的规则对一些操作进行评估,例如,网络连接请求、尝试读取或写入内存或者尝试访问特定应用程序。该系统将允许已知的好行为而阻止已知的坏行为,并对可疑行为添加标记以便进一步评估。

可从主控制台访问应用程序控制设置(工具 > 安全和遵从性 > 代理设置)。应用程序控制代理设置允许您创建应用程序控制代理的安装、更新和删除任务;配置可部署到要保护的目标设备上的应用程序控制设置;自定义应用程序控制显示/交互设置,这些设置决定应用程序控制在受管设备上的显示和运行方式以及哪些交互选项可用于最终用户。还可以在安全活动工具(工具 > 安全和遵从性 > 安全活动)中查看受保护设备的端点安全活动和状态信息。

“端点安全”的组件

应用程序控制是全面的“端点安全”解决方案的组件之一,该解决方案还包括位置感知(网络连接控制)、“Ivanti Firewall”和“设备控制”工具。

主动安全

应用程序控制通过以下途径主动保护您的受管设备:

  • 提供内核级保护,阻止尝试修改机器上的二进制文件(或任何指定文件)或运行进程的应用程序内存的程序。它还可阻止对注册表某些区域的更改,并可以检测到 rootkit 进程。
  • 采用内存保护,防止缓冲区溢出和堆溢出漏洞。
  • 执行保护机制,防止攻击者在数据段内生成并执行代码。
  • 监视未经授权的或异常的文件访问。
  • 提供计算机实时保护,而不依赖于病毒码数据库。

系统级安全

应用程序控制提供以下系统级安全:

  • 基于规则的内核级文件系统保护
  • 注册表保护
  • 启动控制
  • 检测隐藏的 rootkit
  • 网络筛选
  • 进程与文件/应用程序认证
  • 限制可执行文件对特定文件所能执行的操作的文件保护规则

应用程序控制主控台的功能

应用程序控制通过应用程序控制设置使管理员具备为不同用户组定义并管理单独配置文件的能力。端点安全设置允许管理员为不同用户配置文件创建多种极其灵活的配置,从而满足所有用户组的需要。

应用程序控制设置可包括自定义密码保护、WinTrust 处理、保护模式、自定义允许和拒绝列表、网络和应用程序访问控制策略、文件认证以及文件保护规则。

应用程序控制客户端的功能

“端点安全”客户端(部署到受管设备)为管理员提供了一个强大的新工具,可以让他们控制哪些应用程序可在企业的台式机和服务器上运行以及它们的允许执行方式。

应用程序控制客户端软件使用经过验证的试探法和行为识别技术来识别恶意代码的典型病毒码和操作。例如,尝试写入系统注册表的文件可能会被禁用并标记为“可能的恶意文件”。应用程序控制组件采用各种专有技术,甚至在某个病毒码被识别前就能够可靠地检测出恶意软件。

支持的设备平台和防病毒产品

有关支持应用程序控制(端点安全)的设备平台和防病毒产品的最新详细信息,请参阅 Ivanti 用户社区中的“端点安全常见问题解答”:

端点保护常见问题解答

IMPORTANT: 端点安全不受核心服务器或汇总核心服务器的支持
不应将端点安全安装/部署到核心服务器或汇总核心服务器上。但是,可将端点安全部署到辅助控制台中。

不要将应用程序控制部署到安装了任何其他防病毒产品的设备上。

应用程序控制许可

要使用“端点安全”和应用程序控制,必须首先通过允许使用的许可证来激活核心服务器。

有关许可的信息,请联系经销商,或访问 Ivanti 网站。

Ivanti 主页

使用端点安全进行基于角色的管理

端点安全与“修补程序和遵从性”一样,使用基于角色的管理来允许用户访问各种功能。基于角色的管理是使 Ivanti 管理员限制用户对工具和设备访问权限的访问和安全框架。每个用户都指定了特定的角色和范围,以确定他们可以使用哪些功能以及可以管理哪些设备。

管理员可以使用控制台中的“用户”工具来为其他用户分配角色。“代理设置”权限(显示在“角色”对话框中的“安全权限”组下)中包括了端点安全。要查看并使用端点安全功能,用户必须拥有必要的“代理设置”访问权限。

通过“代理设置”权限,您可以让用户执行下列操作:

  • 查看和访问控制台的“工具”菜单和工具箱中的端点安全功能
  • 针对端点安全保护配置受管设备
  • 管理端点安全设置(密码保护、签码处理、操作、保护模式、文件认证、文件保护规则等)
  • 部署端点安全安装或更新任务和更改设置任务
  • 查看受保护设备的端点安全活动
  • 定义端点安全数据阈值设置,以便记录并显示端点安全活动

端点安全主要任务概述

以下列表概述了在配置、实施和使用端点安全保护时涉及到的主要任务。请参阅功能特定的帮助主题来获取详细的概念性和程序性的信息。

  • 针对端点安全保护配置受管设备(将代理部署到目标设备)。
  • 使用端点安全设置来配置端点安全选项,例如签名代码处理、保护模式、允许和拒绝列表(允许在设备上执行的应用程序)、文件认证、文件保护规则以及最终用户交互选项。
  • 使用端点安全学习模式来发现设备上的文件和应用程序行为。
  • 使用端点安全自动阻止模式在设备上实施端点安全保护。
  • 查看受保护设备的端点安全活动。