應用程式控制概觀
應用程式控制為防止受管理裝置上惡意活動入侵提供了一個額外的保護層 (除了修補程式管理、防毒程式、防間諜軟體和防火牆設定之外)。應用程式控制持續不斷地監視特定處理序、檔案、應用程式和登錄機碼,以防止未經授權的行為。您可對裝置上運行的應用程式以及允許它們執行的方式進行控制。
由於它是個基於規則的系統,不是基於定義 (即基於簽名) 的系統,所以應用程式控制能更有效地保護系統免遭零時差攻擊 (在發現、定義錯誤,及修補程式可用之前惡意使用易受攻擊的代碼)。
和弱點偵測與修補、間諜軟體偵測和移除或防毒掃描與隔離不同,應用程式控制保護不需要不間斷的檔案更新,例如修補程式檔案、定義/樣式檔案或簽名資料庫檔案。
應用程式控制透過在應用程式和作業系統內核之間放置軟體代理程式,為伺服器和工作站提供保護。這些系統透過使用基於典型 malware 攻擊行為的預定規則,來評估例如網路連線請求、嘗試讀取或寫入記憶體或嘗試存取特定應用程式等活動。允許已知有益的行為,阻擋已知有害的行為,並標示可疑的行為以待日後評估。
應用程式控制設定可從主控制台 (工具 > 安全性與遵從性 > 代理程式組態) 存取。應用程式控制代理程式組態可讓您建立應用程式控制代理程式安裝、更新和移除工作;設定可被部署到您希望保護之裝置的應用程式控制設定;並自訂應用程式控制顯示/互動設定,以確定應用程式控制在受管理裝置上的顯示和作業方式,以及一般使用者可使用哪些互動選項。您亦可在「安全性活動」工具 (工具 > 安全性和遵從性 > 安全性活動) 中檢視受保護裝置的端點安全活動和狀態資訊。
「端點安全」元件
應用程式控制和「位置感知」(網路連線控制)、Ivanti Firewall 和「裝置控制」工具一樣,是全方位的「端點安全」解決方案的元件之一。
主動安全性
應用程式控制可透過以下方式主動保護您的受管理裝置:
- 對嘗試修改電腦上二進制 (或任何您指定的檔案) 的應用程式或執行處理序的應用程式記憶體提供核心層級的保護。它亦會阻擋對系統登錄表特定區域進行變更,並能偵測 rootkit 處理序。
- 使用針對緩衝區溢位和溢出利用的記憶體保護。
- 執行保護架構,防止攻擊者在資料區段中建立和執行代碼。
- 監視未經授權或不正常的檔案存取。
- 為您的電腦提供即時保護,無須依賴簽名資料庫。
系統層級的安全性
應用程式控制提供以下系統層級的安全性:
- 內核層級、基於規則的檔案系統保護
- 系統登錄表保護
- 啟動控制
- 偵測隱形 rootkit
- 網路篩選
- 處理序和檔案/應用程式認證
- 檔案保護對可執行程式在指定檔案上執行的作業予以限制
應用程式控制控制台功能
應用程式控制為管理員提供透過應用程式控制設定定義和管理不同使用者群組的單獨設定檔的能力。端點安全設定透過允許管理員為不同使用者設定檔建立多個高度靈活的設定,滿足任何或所有使用者群組的需求。
應用程式控制設定包括自訂密碼保護、WinTrust 處理、保護模式、自訂允許與拒絕清單、網路和應用程式存取控制原則、檔案認證和檔案防護規則。
應用程式控制用戶端功能
端點安全用戶端 (已部署至受管理裝置) 為管理員提供功能強大的新型工具,能夠控制企業桌上型電腦和伺服器上執行的應用程式,以及允許應用程式執行的方式。
端點安全用戶端軟體使用經證實的試探法和行為識別技術來識別惡意代碼的典型模式和作業。例如,會將嘗試寫入系統登錄表的檔案阻擋並標記為具有潛在惡意。應用程式控制元件使用各種專有技術,即使是在識別出簽名之前,也能可靠地偵測惡意軟體。
支援的裝置平台和防毒產品
如需支援應用程式控制 (端點安全) 的裝置平台和防毒產品的最新詳細資訊,請參閱 Ivanti 使用者社群上的端點安全常見問題集:
IMPORTANT: 端點安全不受核心伺服器或匯總核心伺服器的支援
您不能將端點安全安裝/部署到核心伺服器或匯總核心伺服器。但是,您可在另一個控制台上部署端點安全。
請勿將應用程式控制部署到已安裝其他任何防毒解決方案/產品的裝置上。
應用程式控制授權
若要使用端點安全及應用程式控制,您必須先以允許使用的授權啟動核心伺服器。
如需授權的資訊,請連絡您的經銷商或造訪 Ivanti 網站。
使用端點安全進行以角色為基礎的管理
端點安全和「修補程式和遵從性」一樣,也使用以角色為基礎的管理,允許使用者存取功能。以角色為基礎的管理是存取和安全性架構,它可以讓 Ivanti 管理員限制使用者存取工具和裝置。每個使用者都指定了特定的角色和範圍,決定他們可以使用哪些功能以及可以管理哪些裝置。
管理員使用控制台中的「使用者」工具,將這些角色指派給其他使用者。端點安全包括在代理程式組態權限中,而此權限則是出現在「角色」對話方塊中的安全性權限群組之下。若要查看和使用端點安全功能,使用者必須擁有必要的「代理程式組態」存取權限。
在擁有「代理程式組態」權限之後,您可以為使用者提供以下能力:
- 看到和存取控制台「工具」功能表和工具列中的端點安全功能
- 為受管理裝置設定裝置安全保護
- 管理端點安全設定 (密碼保護、簽名密碼處理、作業、保護模式、檔案認證、檔案防護規則等等)。
- 部署端點安全安裝或更新工作,並變更設定工作
- 檢視受保護裝置的端點安全動作
- 定義端點安全資料閾值設定,用於記錄和顯示端點安全活動
端點安全主要工作概述
下面的清單列舉出與設定、實施與使用端點安全保護有關的主要工作。請參閱功能特定的說明主題以了解詳細的概念與程序資訊。
- 設定端點安全保護的受管理裝置 (將代理程式部署至目標裝置)。
- 使用端點安全設定值來設定端點安全選項,例如簽名密碼處理、保護模式、允許與拒絕清單 (允許在裝置上執行的應用程式)、檔案憑證、檔案防護規則、一般使用者互動選項。
- 使用端點安全學習模式搜尋裝置上的檔案和應用程式行為。
- 使用端點安全自動阻擋模式在受管理裝置上強制執行端點安全保護。
- 檢視受保護裝置的端點安全動作。