HIPS 帮助
使用此对话框可创建和编辑 HIPS 设置(配置文件)。 创建 HIPS 设置时,首先定义常规要求和操作,然后添加特定的文件认证。 可以根据需要创建任意多个 HIPS 设置,并可以随时对其进行编辑。
如果您要修改设备的默认 HIPS 设置但不重新安装 HIPS 代理或重新部署完整的代理配置,请对“HIPS 设置”对话框中的任何选项进行所需的更改,将新的设置分配到更改设置任务,然后将更改设置任务部署到目标设备。
该对话框包含以下页面。
关于“HIPS:常规设置”页面
使用此页面可配置 HIPS 的常规保护设置和操作。
此页面包含以下选项:
- 名称:用唯一的名称来标识 HIPS 设置。 该名称显示在安装或更新安全组件任务对话框的“HIPS 设置”列表中。
- 保护设置:有两种类型的保护:HIPS 和白名单。 可以选择其中之一或两者均选。 两种保护类型使用同一操作模式,即在“模式”配置页面上选择的操作模式。 (注意:此常规保护实施存在一种例外情况。 如果指定“学习”保护模式并选中“白名单(仅学习)”选项,则仅学习白名单应用程序,并且 HIPS 保护会设置为自动阻止模式。)
- 启用主机侵入防护:启用 HIPS 保护。 允许所有程序根据预定义的保护规则运行(除非该程序的操作会威胁系统安全)。 您可以通过受信任文件列表配置自定义文件认证,为程序文件授予特殊权限。 HIPS 保护观察应用程序行为(是否允许应用程序修改其他可执行文件和注册表等)和实施安全规则。
- 使用缓冲区溢出保护:保护设备,避免出现利用等待用户输入的程序或进程的系统内存漏洞。
注意:无论处理器是否支持 NX/XD(不可执行/执行禁用),都可以在 32 位 Windows 设备上启用缓冲区溢出保护 (BOP)。 如果处理器不支持 NX/XD,将会进行模拟。 不过,如果处理器支持 NX/XD 但在 BIOS 或引导配置中被关闭,则无法启用 BOP。 请注意,“端点安全”客户端会显示出最终用户设备上启用还是禁用了 BOP。 64 位 Windows 设备上不支持 BOP,原因是内核补丁保护 (KPP) 功能会阻止修补内核。
重要说明:我们强烈建议您在大范围地部署到网络上的受管设备之前,首先在特定的硬件配置中测试缓冲区溢出保护 (BOP)。 某些运行特定 Windows 操作系统版本的旧版处理器(使用 HT 超线程的 Pentium 4 之前)的配置可能无法完全支持缓冲区溢出保护。
- 使用缓冲区溢出保护:保护设备,避免出现利用等待用户输入的程序或进程的系统内存漏洞。
- 启用允许列表保护:选择此选项后,只有当应用程序处于受信任文件列表中,并且应用程序的文件认证启用了“允许”执行选项时,才允许运行应用程序。
- 阻止 Windows 资源管理器修改或删除可执行文件:如果您不希望 Windows 能够修改或删除任何可执行文件,则启用此选项。
- 启用主机侵入防护:启用 HIPS 保护。 允许所有程序根据预定义的保护规则运行(除非该程序的操作会威胁系统安全)。 您可以通过受信任文件列表配置自定义文件认证,为程序文件授予特殊权限。 HIPS 保护观察应用程序行为(是否允许应用程序修改其他可执行文件和注册表等)和实施安全规则。
- 执行的操作:确定当程序添加到设备的启动文件夹时执行的操作。 此选项可为系统启动文件夹中的进程授权提供另一层防护。 HIPS 监视启动内容,并在发现新进程时执行所选操作(警报和操作提示;始终允许程序运行;或从“启动”中移除程序但不发出警报)。
- 设置为默认值:将此设置指定为使用 HIPS 设置的任务的默认设置。
- ID:标识此特定设置。 此信息存储在数据库中,并且可用于追踪每个设置。
- 保存:保存所作的更改,并关闭该对话框。
- 取消:关闭此对话框而不保存更改。
关于“HIPS:模式配置”页面
使用此页面可配置 HIPS 保护的操作模式。
此页面包含以下选项:
- 主机侵入保护模式:指定在启用了 HIPS 保护时的保护行为。 启用了 HIPS 模式时,可从以下操作方法中选择一种:
- 阻止:阻止安全冲突,并将其记录到核心服务器上的操作历史记录文件中。
- 学习:允许所有违反安全的应用程序行为,但会观察(或学习)应用程序行为,并将该信息返回到核心数据库的“受信任文件列表”中。 使用该操作模式搜寻特定设备或一组设备上的应用程序行为,使用该信息自定义 HIPS 策略后,再部署这些策略并在整个网络中实施 HIPS 保护。
- 仅记录:允许安全冲突,并将其记录到核心服务器上的操作历史记录文件中。
- 静默:阻止安全冲突,并且不会将其记录到核心服务器上的操作历史记录文件中。
- 允许列表模式:指定启用了允许列表保护时的保护行为。 白名单保护意味着仅允许运行和学习在“受信任文件列表”中并且具有白名单标号的应用程序(其文件认证已启用允许执行选项的应用程序)。 启用了“白名单”模式时,可从以下操作方法中选择一种:
- 阻止:阻止安全冲突,并将其记录到核心服务器上的操作历史记录文件中。
- 学习:允许所有违反安全的应用程序行为,但会观察(或学习)应用程序行为,并将该信息返回到核心数据库的“受信任文件列表”中。 使用该操作模式搜寻特定设备或一组设备上的应用程序行为,使用该信息自定义 HIPS 策略后,再部署这些策略并在整个网络中实施 HIPS 保护。
- 仅记录:允许安全冲突,并将其记录到核心服务器上的操作历史记录文件中。
- 静默:阻止安全冲突,并且不会将其记录到核心服务器上的操作历史记录文件中。
关于“HIPS:文件保护规则”页面
使用此页面可查看、管理文件保护规则并设置其优先级。 文件保护规则是一组限制,可阻止指定的可执行程序对指定的文件执行特定的操作。 通过文件保护规则,可允许或禁止任何程序对任何文件的访问、修改、创建和执行。
该对话框包含以下选项:
- 保护规则:列出了 LANDesk 提供的所有预定义(默认)文件保护规则,以及您创建的所有文件保护规则。
- 规则名称:识别文件保护规则。
- 限制:显示程序对文件执行的由文件保护规则限制的特定操作。
- 程序:显示由保护规则保护的可执行程序。
- 上移\下移:决定文件保护规则的优先级。 列表前面的文件保护规则的优先级高于列表后面的规则。 例如,您可以创建限制某个程序访问和修改特定文件或文件类型的规则,然后又创建规定该限制不适用于一个或多个指定程序的另一个规则。 只要第二个规则位于规则列表的前面,则优先采用该规则。
- 重置:恢复 LANDESK 提供的预定义(默认值)文件保护规则。
- 添加:打开“配置文件保护规则”对话框,可在此对话框中添加和删除程序与文件以及指定限制。
- 编辑:打开“配置文件保护规则”对话框,可在此对话框中编辑现有的文件保护规则。
- 删除:从数据库中删除文件保护规则。
NOTE: 文件保护规则存储在 FILEWALL.XML 文件中,位置为:ProgramFiles\Landesk\ManagementSuite\ldlogon\AgentBehaviors\Hips_Behavior.ZIP
关于“HIPS:配置文件保护规则”对话框
使用此页面配置文件保护规则。
该对话框包含以下选项:
- 规则名称:用描述性名称来标识文件保护规则。
- 监视的程序
- 所有程序:禁止所有可执行程序对下面指定的文件执行下面选择的操作。
- 指定程序:指定只有列表中的可执行程序才应用下面选择的限制。
- 添加:允许您选择受文件保护规则限制的程序。 您可以使用文件名和通配符。
- 编辑:用于修改程序名称。
- 删除:从列表中删除程序。
- 例外
- 已认证的程序允许例外:允许当前属于认证文件列表中的可执行程序忽略与该文件保护规则关联的限制。
- 保护文件
- 所有文件:上面指定的程序根据其限制对所有文件都不能执行任何操作。
- 指定文件:指定只保护列表中的文件。
- 添加:允许您选择一个或多个受该规则保护的文件。 您可以使用文件名或通配符。
- 编辑:允许您修改文件名。
- 删除:从列表中删除文件。
- 同时应用到子目录:对指定目录的所有子目录实施文件保护规则。
- 受保护文件上的受限操作
- 读取权限:禁止上面指定的程序访问受保护文件。
- 修改:禁止上面指定的程序对受保护文件做任何更改。
- 创建:禁止上面指定的程序创建文件。
- 执行:禁止上面指定的程序运行受保护文件。