端點安全性說明
此對話方塊 (工具 > 組態 > 代理程式組態 > 端點安全) 可用來建立和編輯端點安全設定。
此對話方塊包含下列頁面:
- 關於「端點安全」:「一般設定」頁
- 關於「端點安全」:「數位簽章」頁
- 關於「端點安全」:預設原則
- 關於「端點安全」:「受監視的資料夾」頁
- 關於「端點安全: 中繼修補」頁面
- 關於「端點安全自動修補」頁面
- 關於「端點安全自動修補」: 觸發頁面
- 關於「端點安全自動修補」: 動作頁面
- 關於「端點安全進階」頁面
- 關於「端點安全」:「信任資料夾」頁
- 關於「端點安全」:「數位簽章」頁
- 關於「端點安全」:預設原則
關於「端點安全」:「一般設定」頁
使用此頁面設定位置察覺 (信任的網路) 及其他存取設定。
- 名稱:用唯一的名稱來識別設定。
- 管理員:指定管理員密碼及選項。
- 使用管理員密碼:指定設定了端點安全性設定的裝置上所需的密碼,以便在受保護裝置上執行特定作業。
- 允許 Windows 服務控制管理員停止端點安全服務:允許一般使用者停止用戶端上的「端點安全」服務。
- 用戶端介面:指定「端點安全」用戶端在受管理裝置上的顯示方式。
- 顯示系統匣圖示:在用戶端介面中顯示通知區域圖示。
- 顯示違規氣泡提示:在發生阻止的作業時,會在一般使用者裝置上顯示訊息。
- Ivanti 管理群組中顯示開始功能表的捷徑在「開始」功能表中顯示「端點安全」用戶端的程式圖示 (按一下開始 > 程式集 > Ivanti 管理)
- 儲存:儲存所作的變更,並關閉該對話方塊。
關於「端點安全」:「數位簽章」頁
使用此頁面可檢視和管理數位簽署的應用程式及廠商。
- 不信任數位簽署的應用程式:不自動信任數位簽署的應用程式。停用其餘對話方塊選項。
- 信任所有數位簽署的應用程式:自動信任數位簽署的應用程式。務必審慎使用此功能。雖然數位簽署表示某種程度的信任度,不過不保證您的環境允許使用應用程式。
- 信任這些供應商的數位簽署的應用程式:僅信任您指定的供應商所數位簽署的應用程式。將有信譽的廠商列出的基本清單預設在信任廠商清單中。您可以使用下列按鈕進行修改。
- 已找到的供應商:受管理裝置上的清單軟體掃描器所找出的廠商。
- 信任廠商:可信任的廠商名稱。使用萬用字元可確保廠商名稱符合數位簽署的應用程式上出現的名稱變化形式。
- 後新增、編輯和刪除:這些可用來管理廠商清單中的廠商名稱。
關於「端點安全」:預設原則
使用此頁面來設定要啟用的安全性元件,以及要針對各個元件使用的設定。除非您先啟用特定的元件 (例如,應用程式控制),否則將無法使用此頁面上的部分選項。
元件: 選取想要部署的元件,以及想要用於各個元件的代理程式設定。
- 應用程式控制: 如需詳細資訊,請參閱應用程式控制概觀。
- 權限管理: 如需詳細資訊,請參閱 Environment Manager。
- Ivanti Firewall: 如需詳細資訊,請參閱設定 Ivanti 防火牆設定。
- 裝置控制: 如需詳細資訊,請參閱裝置控制概觀。
- 應用程式檔案清單: 若您已選取「應用程式控制」或「Ivanti Firewall」元件,便可編輯此清單。應用程式檔案清單有助於確保裝置檔案系統中存在的檔案,並非惡意軟體且未經過篡改。如需詳細資訊,請參閱使用檔案信譽限制應用程式。
關於「端點安全」:「受監視的資料夾」頁
此對話方塊可用來指定受管理裝置上應該被監視的資料夾路徑。監視資料夾中包含的全部檔案與子資料夾均被監視。安全性活動工具的應用程式控制區段 (工具 > 安全和遵從性 > 安全性活動) 可用來檢視監視資料夾上的通知。如果任何端點安全性動作需要您注意,您也會在登入 Endpoint Manager 控制台時看見通知。
按一下新增並指定要監視的資料夾路徑、檔案樣式、排除和檔案活動。
關於「端點安全: 中繼修補」頁面
使用此頁面設定 Endpoint Security 如何處理沒有最新修補程式的網頁瀏覽器。
在某些情況下,部分瀏覽器修補程式會使瀏覽器內部執行的重要商業 Web 應用程式如預期般停止運作。發生這個情況時,部分管理員會選擇復原修補程式,從而允許商業 Web 應用程式繼續運作。
使用中繼修補功能可防止未修補的瀏覽器存取網際網路上不受信任的網站。未修補的瀏覽器是惡意軟體感染的主要目標。一旦啟用此功能,Endpoint Security 將會自動偵測未完全修補的瀏覽器,而且將會封鎖對於未在受信任的網站清單中設定為受信任之網站的任何存取。這將確保一般使用者僅能使用未修補的瀏覽器造訪受信任的網站。
- 監視缺少修補程式的應用程式: 選取您要監視是否缺少修補程式的瀏覽器應用程式。
- 受信任的網站: 將網站新增至此清單,即使這些瀏覽器缺少修補程式,您也將允許瀏覽器存取。您可以依 IP 位址、IP 範圍、子網路位址或主機名稱新增項目。受監視的未修補瀏覽器將只能存取此清單中的網站。
關於「端點安全自動修補」頁面
從 Ivanti Endpoint Management 2017.3 開始,Ivanti Software 提供稱為「自動修補」的新端點安全功能。此動作可透過 API 並由惡意軟體和勒索軟體來觸發。
此區段中的頁面可用來設定惡意軟體和勒索軟體自動修補。依預設自動修補為停用。若您要設定自動修補並設定觸發和動作頁面,則需要按一下自動修補頁面上的啟用。
請注意,適用於其他勒索軟體防護的應用程式控制代理程式設定,位於安全性 > 端點安全 > 應用程式控制底下,可以限制存取實體磁碟機以及自動偵測及黑名單加密勒索軟體。
關於「端點安全自動修補」: 觸發頁面
端點安全會監視由主要防毒軟體產品所建立的即時記錄檔。當這些產品偵測到惡意軟體時,它們會將項目寫入其記錄檔中。不過,不同廠商會使用不同的名稱來識別惡意軟體。因此,您需要識別防毒廠商如何記錄您所關注的惡意軟體。請參閱下列廠商的關鍵字連結。
• Kaspersky - 惡意軟體類別
• Symantec - 惡意程式碼類別和威脅類型
• McAfee - 威脅程式庫搜尋結果
• Trend Micro - 防毒/惡意軟體
• Sophos - 進階的目標惡意軟體安全性 | 適用於公司網路和網路威脅的 Sophos ATP
您可以接著在觸發頁面上輸入逗號分隔的關鍵字清單。當防毒記錄中偵測到這些關鍵字的其中一個時,自動修補即會觸發,且系統會執行您所設定的動作。
目前支援下列防毒產品:
- Ivanti Antivirus 2017.3 (Kaspersky Endpoint Security for Windows 10.0 SP1)
- Symantec Endpoint Protection 14
- McAfee VirusScan Enterprise 8.8
- Trend Micro OfficeScan Client 5.0
- Sophos Anti-Virus 5.8
觸發時,自動修補會自動傳送
- 由惡意軟體觸發: 若您想要防毒記錄關鍵字觸發自動修補,請選取此選項。
- 關鍵字 (逗號分隔): 指定您防毒產品所使用的關鍵字。
- 由勒索軟體觸發: 選取此選項以針對勒索軟體觸發自動修補。
- 由 API 觸發: 請參閱 Ivanti 社群上的這篇文件以取得詳細資訊。
關於「端點安全自動修補」: 動作頁面
當符合您在觸發頁面上指定的條件時,此頁面上的動作即會發生。
- 將裝置自網路隔離但允許遠端管理: 使用 Ivanti 防火牆以隔離裝置與所有流量,但來自 Ivanti 控制台的管理流量除外。遠端遙控、軟體分發等仍將正常運作。
- 關機或重新啟動: 強制關機或重新啟動。您可以提供讓使用者在此狀況發生時可以看到的訊息,但他們將無法延遲或中斷關機或重新啟動。
- 執行安全性掃描: 根據您指定的分發與修補程式設定執行安全性掃描。
- 部署套件: 部署您指定的套件。這可以是次要的修補工具,例如 Malwarebytes 產品。
關於「端點安全進階」頁面
使用此對話方塊設定進階安全性選項。
- 允許產生安全性授權碼: 建立授權碼會讓一般使用者能夠在短暫的期間內執行會遭到封鎖的作業。如需詳細資訊,請參閱產生安全性授權碼。
- 允許 Windows 服務控制管理員停止 Ivanti 端點安全服務: 通常,使用者無法使用 Windows 服務控制管理員來停止 Ivanti 端點安全服務。若要允許使用者停止該服務,請選取此選項。
- 在安全模式中強制執行 Ivanti 端點安全保護: 通常,Windows 安全模式會停用端點安全。若您希望在安全模式下端點安全仍啟動,請選取此選項。
- 全域快速鍵:指定用於特殊「端點安全」功能的快速鍵捷徑。
- 略過裝置控制的快速鍵:可讓您定義暫時存取被阻擋裝置的快速鍵組合。預設快速鍵是 Ctrl+Shift+F1。若要輸入所需的快速鍵組合,請將游標置於文字方塊中,然後以您需要的順序按住各按鍵。
- 為一般使用者提供更多通知
- 防止 Ivanti 檔案遭到變更
關於「端點安全」:「信任資料夾」頁
此對話方塊可用來指定受管理裝置上不應該被視為受信任的資料夾路徑。
按一下新增並指定資料夾路徑,以及您授予該資料夾和其中全部子資料夾的權限。
關於「端點安全進階: 數位簽章」頁面
使用此頁面可檢視和管理數位簽署的應用程式及廠商。
- 不信任數位簽署的應用程式:不自動信任數位簽署的應用程式。停用其餘對話方塊選項。
- 信任所有數位簽署的應用程式:自動信任數位簽署的應用程式。務必審慎使用此功能。雖然數位簽署表示某種程度的信任度,不過不保證您的環境允許使用應用程式。
- 信任這些供應商的數位簽署的應用程式:僅信任您指定的供應商所數位簽署的應用程式。將有信譽的廠商列出的基本清單預設在信任廠商清單中。您可以使用下列按鈕進行修改。
- 已找到的供應商:受管理裝置上的清單軟體掃描器所找出的廠商。
- 受信任廠商: 此清單會在「已找到的廠商」清單右側顯示,同時會顯示您能管理的廠商簽章,以及這些廠商是否能夠信任。使用萬用字元可確保廠商名稱符合數位簽署的應用程式上出現的名稱變化形式。
- 後新增、編輯和刪除:這些可用來管理廠商清單中的廠商名稱。
關於「端點安全進階: 應用程式檔案清單」頁面
若您已選取「應用程式控制」或「Ivanti Firewall」元件,便可編輯此清單。應用程式檔案清單有助於確保裝置檔案系統中存在的檔案,並非惡意軟體且未經過篡改。如需詳細資訊,請參閱使用檔案信譽限制應用程式。
- 應用程式檔案清單: 使用「新增」及「編輯」按鈕來設定要使用的受信任檔案清單。
- 學習清單:將元件設定為學習模式時,所學習的檔案資訊將新增到此清單。
- 僅將學習活動新增至學習清單中:僅更新您指定的學習清單。
- 將學習活動新增至已存在相同檔案的各個清單中:更新對於所學習的檔案有項目的所有信任檔案清單。
- 自動將數位簽章信任的檔案新增到應用程式檔案清單: 應用程式控制會查詢每個檔案執行,以偵測數位憑證是否存在。如果檔案有一個有效的數位憑證,則允許執行該檔案。請注意,無論是否設定此設定,LANDesk 和 Ivanti 以數位方式簽署的所有程序預設都受到信任。依預設停用。
- 啟用本機應用程式檔案清單: 在電腦上啟用無法從核心伺服器或其他控制台管理的本機應用程式檔案清單。有些客戶可能會發現這個功能很實用,但編輯此清單需要對電腦進行實體或遠端控制存取。檢視 Endpoint Security中的檔案清單時,範圍欄會顯示是全域還是本機範圍。依預設停用。