使用檔案信譽限制應用程式

安全性和遵從性中的檔案信譽功能有助於確保裝置的檔案系統中存在的檔案不是惡意軟體,並且未經過篡改。雖然應用程式控制行為保護有助於保護受管理的裝置,不過端視這些應用程式嘗試進行的作業而定,對於合法的應用程式仍然會觸發誤報。如果您使用檔案信譽,可選擇對於已知「良好」信譽的檔案建立單獨的應用程式控制行為設定檔,避開一般基於行為的應用程式控制。

檔案信譽並非預設為啟用。如果啟用檔案信譽,受管理裝置上的檔案本身的匿名檔案信譽資訊將安全地傳送到 Ivanti 檔案信譽雲端伺服器,這可提升此功能所有使用者的檔案信譽準確度及涵蓋範圍。

如果您啟用檔案信譽,每次裝置執行應用程式時,代理程式會先檢查本機資料庫,查看應用程式檔案是否符合已知良好的雜湊。如果不相符,代理程式會將包含檔案資料的要求傳送到核心伺服器。核心伺服器將檢查資料庫,查看檔案信譽的資訊是否已經存在。如果不存在,核心會將要求傳送到 Ivanti 雲端信譽伺服器。如果檔案雜湊符合雲端中的結果,雲端伺服器會將檔案的信譽資訊傳回核心和用戶端。

檔案信譽系統使用 Ivanti 雲端託管的檔案資訊資料庫,資訊包括名稱、大小、中繼資料及 SHA1 雜湊。檔案信譽資料庫大部份來自 National Software Reference Library (NSRL)。您可以造訪網站,瞭解詳細資訊:http://www.nsrl.nist.gov/new.html

檔案可擁有下列三種信譽中的一種:

良好:檔案符合 NSRL 資料庫中的項目,或者 Ivanti 已經收集足夠的資訊,確信檔案安全無虞。

不佳:檔案不符合任何 NSRL 資料庫中的項目,或者 Ivanti 已經收集足夠的資訊,確信檔案不安全。

未決定:此檔案沒有任何相符的項目,或者沒有足夠的相符項目可協助決定檔案是否良好。

檔案信譽演算法會考量相符檔案出現的頻率、符合項已存在時間、由誰簽署檔案,以及這些檔案的出現在 Endpoint Manager 獲准或遭封鎖的頻率。

若要在受管理裝置上使用檔案信譽監視,您需要完成下列步驟。

1.下載檔案信譽 Ivanti 更新

2.建立使用檔案信譽的應用程式控制代理程式組態

-或者-

在應用程式檔案清單中包含信譽定義

3.將設定部署到受管理裝置

關閉下載檔案信譽 Ivanti 更新

1.按一下工具 > 安全性和遵從性 > 修補程式和遵從性

2.按一下下載更新工具列按鈕。

3.定義類型清單中,按一下 Ivanti 檔案信譽更新

4.在確認對話方塊中,閱讀檔案信譽的使用條款。如果同意條款,按一下我同意。按一下我不同意將清除 Ivanti 檔案信譽更新核取方塊。

5.按一下立即下載套用按鈕。

關閉搭配應用程式控制使用檔案信譽

1.按一下工具 > 安全性和遵從性 > 代理程式組態

2.代理程式組態 > 我的代理程式組態 > 安全性 > 端點安全下的樹狀結構中,以滑鼠右鍵按一下應用程式控制並按一下新增,或按兩下現有設定。

3.一般設定頁面上,按一下將「良好信譽」檔案視為在相關聯的受信任檔案清單中

4.按一下「良好信譽」應用程式行為按鈕。

5.設定對於良好信譽的檔案所需的應用程式控制Ivanti 防火牆行為。

6.按一下確定,然後按一下儲存

關閉搭配應用程式檔案清單使用檔案信譽

1.按一下工具 > 安全性和遵從性 > 代理程式組態

2.代理程式組態 > 我的代理程式組態 > 安全性 > 端點安全下的樹狀結構中,以滑鼠右鍵按一下應用程式檔案清單並按一下新增,或按兩下現有清單。

3.啟用對話方塊頂端的選項將清單傳送至用戶端時自動包含「良好信譽」檔案將清單傳送至用戶端時自動包含「不好信譽」檔案

4.如果您包含良好信譽檔案,請按一下「允許的應用程式行為」按鈕設定對於良好信譽檔案進行的應用程式控制Ivanti 防火牆行為。

5.按一下確定

關閉將檔案新增至應用程式檔案清單

1.按一下工具 > 安全性和遵從性 > 代理程式組態

2.按一下進行設定工具列按鈕,並按一下檔案信譽

3.按兩下要修改的應用程式檔案清單,或建立新的清單。

4.應用程式檔案清單工具列中,按一下 ,並按一下透過瀏覽來新增檔案輸入名稱來新增阻止檔案

5.端視您選擇的選項而定,瀏覽所需的檔案,並按一下儲存,或手動輸入檔案詳細資料,並按一下確定

關閉將檔案信譽代理程式組態部署到受管理裝置

1.代理程式組態視窗中,按一下建立工作工具列按鈕,然後按一下變更設定

2.端視您的喜好設定而定,對於設定變更工作類型選取排程的工作或原則。

3.在設定清單的端點安全旁邊,選取使用您所設定應用程式控制設定的端點安全設定。

4.按一下確定,結束設定排程工作視窗中的工作。

關閉覆寫現有檔案信譽

1.按一下工具 > 安全性和遵從性 > 代理程式組態

2.按一下進行設定工具列按鈕,並按一下檔案信譽。若要將檔案的清單排序,請使用頁面頂端的核取方塊,並按一下套用篩選器

3.選取要變更信譽的檔案,並按一下覆寫信譽按鈕。

4.確定已勾選覆寫 Ivanti 信譽設定,並選取所需信譽

5.按一下確定

關閉若要從其他應用程式檔案清單匯入

1.按一下工具 > 安全性和遵從性 > 代理程式組態

2.代理程式組態 > 我的代理程式組態 > 安全性 > 端點安全下的樹狀結構中,以滑鼠右鍵按一下應用程式檔案清單並按一下新增,或按兩下現有清單。

3.應用程式檔案清單工具列中,按一下 ,並按一下從其他應用程式檔案清單匯入

4.必要時套用篩選器,並選取要匯入的檔案。按下一步

5.對於選取的檔案設定所需的應用程式行為,並按一下確定

6.再次按一下確定,將變更儲存於應用程式檔案清單。

關閉從 .csv 檔匯入檔案清單

1.按一下工具 > 安全性和遵從性 > 代理程式組態

2.代理程式組態 > 我的代理程式組態 > 安全性 > 端點安全下的樹狀結構中,以滑鼠右鍵按一下應用程式檔案清單並按一下新增,或按兩下現有清單。

3.應用程式檔案清單工具列中,按一下 ,並按一下從 .csv 檔案匯入

4.瀏覽包含應用程式檔案清單資訊的 .csv 檔,並按一下開啟

5.必要時設定匯入的檔案,並按一下確定

.csv 檔案格式如下所述:

"檔案名稱", "檔案大小", "版本", "製造商名稱", "產品名稱", "MD5 雜湊 base64 字串", "SHA1 字串", "SHA256 字串", "權限"

以下是一個 CSV 項目範例:

"abc.exe","4032","1.1.0.0","Company-1.","Product1","CWhlIHF1aWNrIGJyb3duIA==","a94a8fe5ccb19ba61c4c0873d391e987982fbbd3", "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08","AuthorizedInstaller AllowExecution BypassBufferOverflow"

下列為允許的權限字串:

  • AuthorizedInstaller: 允許檔案安裝
  • AllowExecution: 允許檔案執行
  • BypassBufferOverflow: 略過緩衝溢位保護
  • ModifyProtRegKeys: 修改防護的登錄機碼
  • ProtAppInMem: 保護記憶體中的應用程式
  • ModifyExeFiles: 修改可執行檔案
  • ModifyProtFiles: 修改防護的檔案
  • BypassAllProtection: 略過全部防護
  • AddToSysStartup: 加入到系統啟動項
  • InheritToChildProc: 可讓子處理序繼承權限
  • AllowSmtpOut: 允許檔案傳送電子郵件
  • AllowNetConnect: 允許應用程式連線到信任的範圍外部 (網際網路)
  • AllowNetListen: 允許應用程式在信任的範圍內部接收連線 (網際網路)
  • AllowTrustedNetConnect: 允許應用程式在信任的範圍內部連線
  • AllowTrustedNetListen: 允許應用程式在信任的範圍內部接收連線
關閉若要從信任的裝置匯入檔案清單

1.按一下工具 > 安全性和遵從性 > 代理程式組態

2.代理程式組態 > 我的代理程式組態 > 安全性 > 端點安全下的樹狀結構中,以滑鼠右鍵按一下應用程式檔案清單並按一下新增,或按兩下現有清單。

3.應用程式檔案清單工具列中,按一下 ,並按一下從信任的裝置匯入

4.選取所需的裝置,並按一下從指定的裝置匯入檔案

5.如果要徹底搜尋這些裝置中的 .exe 檔,請按一下

6.必要時設定匯入的檔案,並按一下確定

關閉合併應用程式檔案清單

1.按一下工具 > 安全性和遵從性 > 代理程式組態

2.代理程式組態 > 我的代理程式組態 > 安全性 > 端點安全下的樹狀結構中,以滑鼠右鍵按一下應用程式檔案清單,並按一下合併應用程式檔案

3.選取要成為來源清單的應用程式檔案清單。

4.選擇要合併不同的應用程式檔案或取代應用程式檔案。

5.選取合併作業的目標清單。

6.按一下確定