HIPS 說明
使用此對話方塊建立及編輯 HIPS 設定 (設定檔)。 建立 HIPS 設定的時候,您首先需要定義一般要求和作業,再新增指定檔案認證。 您可以視需要隨時建立多個 HIPS 設定,數目不限。
如果您希望不重新安裝 HIPS 代理程式或重新部署完整代理程式組態而修改裝置的預設 HIPS 設定,請對 HIPS 設定對話方塊上任何選項進行變更、將新設定指派為變更設定工作,再將變更設定部署至目標裝置。
此對話方塊包含下列頁面:
關於「HIPS:「一般設定」頁
使用該頁面設定 HIPS 的一般保護設定和作業。
此頁含有以下選項:
- 名稱:用唯一的名稱來識別 HIPS 設定。 該名稱會顯示在「安裝或更新安全元件工作」對話方塊上的 HIPS 設定清單中。
- 保護設定:有兩種保護類型:HIPS 和白清單。 您可以選擇其中一個或兩個都選擇。 兩種保護類型都使用相同的作業模式,也就是在「模式設定」頁面上選取的模式。 (注意:此一般性保護強制有一個例外情況。 如果您指定了學習保護模式並且選取「僅學習白清單」選項,則僅會學習白清單應用程式,而 HIPS 保護會設定為自動阻止模式。)
- 啟用主機侵入防護:開啟 HIPS 保護。 如此將根據預定義的防護規則定義,允許所有程式執行,但是當程式的某個操作威脅到系統安全的情況除外。 您可以設定自訂檔案憑證,來透過信任的檔案清單為程式檔案授予特殊權限。 HIPS 保護會觀察應用程式的行為 (是否允許應用程式修改其他可執行檔、修改系統登錄表等) 並且強制執行安全性規則。
- 使用緩衝溢位保護:保護裝置避免系統記憶體利用 (使用等候在使用者輸入的程式或過程)。
備註:不論處理器是否有 NX/XD (無 eXecute/停用 eXecute) 支援,緩衝溢位保護 (BOP) 可以在 32 位元 Windows 裝置上啟用。 如果處理器沒有 NX/XD 支援,則會進行模擬。 然而如果處理器有 NX/XD 支援,但是在 BIOS 或開機設定中關閉,則無法啟用 BOP。 請注意,「端點安全」用戶端會顯示 BOP 在一般使用者裝置是否啟用或停用。 64 位元 Windows 裝置不支援 BOP,原因是 Kernel Patch Protection (KPP) 功能使得修補核心工作無法進行。
重要說明:我們極力建議您先在您的特定硬體設定上測試緩衝溢位保護 (BOP),然後再執行大規模部署至網路上的受管理裝置。 某些較舊的處理器 (擁有 HT 或超執行緒技術的 Pentium 4 之前的處理器) 的設定在執行特定 Windows 作業系統版本時,可能無法完全支援緩衝溢位保護。
- 使用緩衝溢位保護:保護裝置避免系統記憶體利用 (使用等候在使用者輸入的程式或過程)。
- 啟用白清單保護: 選取後,只有位於信任檔案清單中且其檔案憑證已經啟用「允許執行」選項的應用程式才能執行。
- 避免 Windows Explorer 修改或刪除可執行檔:如果您不希望 Windows 能夠修改或刪除任何可執行檔,請啟用此選項。
- 啟用主機侵入防護:開啟 HIPS 保護。 如此將根據預定義的防護規則定義,允許所有程式執行,但是當程式的某個操作威脅到系統安全的情況除外。 您可以設定自訂檔案憑證,來透過信任的檔案清單為程式檔案授予特殊權限。 HIPS 保護會觀察應用程式的行為 (是否允許應用程式修改其他可執行檔、修改系統登錄表等) 並且強制執行安全性規則。
- 採取的動作:確定程式新增至裝置的啟動資料夾時採取的動作。 此選項為系統啟動資料夾中的授權處理序提供了第二道保護。 HIPS 監視啟動的內容,以及它是否找到新處理序,它會執行您選擇的作業 (警示並詢問要採取的動作;始終允許程式執行;或從「啟動」移除程式且不警示)。
- 設定為預設值:將該設定值指派為使用 HIPS 設定值的工作的預設值。
- ID:識別該特定設定值。 該資訊會儲存到資料庫中,可用於追蹤所有設定。
- 儲存:儲存所作的變更,並關閉該對話方塊。
- 取消:關閉該對話方塊,且不儲存變更。
關於「HIPS:模式設定頁
使用此頁面設定 HIPS 保護的作業模式。
此頁含有以下選項:
- 主機侵入防護模式:指定啟用 HIPS 保護時的保護行為。 當 HIPS 模式啟用時,您可以從下列其中一種作業方式中選擇。
- 阻擋:阻擋安全性違規,且會記錄在核心伺服器上的動作歷史記錄檔案中。
- 學習:允許所有應用程式安全性違規,但是會觀察 (或學習) 應用程式的行為,並且將該資訊傳送回「信任檔案清單」中的核心資料庫。 使用此作業模式以在特定裝置或裝置集合上搜尋應用程式行為,然後使用該資訊自訂 HIPS 原則,隨後在網路上部署它們並且實施 HIPS 保護。
- 僅記錄:允許安全性違規,並且會記錄在核心伺服器上的動作歷史記錄檔案中。
- 無動作:阻擋安全性違規,且不會記錄在核心伺服器上的動作歷史記錄檔案中。
- 白清單模式: 指定啟用允許清單保護時的保護行為。 白清單保護表示,只有位於信任檔案清單中且包含白清單標示的應用程式 (其檔案憑證已經啟用「允許執行」選項的應用程式) 才允許執行與被學習當白清單模式啟用時, 您可以從下列其中一種作業方式中選擇。
- 阻擋:阻擋安全性違規,且會記錄在核心伺服器上的動作歷史記錄檔案中。
- 學習:允許所有應用程式安全性違規,但是會觀察 (或學習) 應用程式的行為,並且將該資訊傳送回「信任檔案清單」中的核心資料庫。 使用此作業模式以在特定裝置或裝置集合上搜尋應用程式行為,然後使用該資訊自訂 HIPS 原則,隨後在網路上部署它們並且實施 HIPS 保護。
- 僅記錄:允許安全性違規,並且會記錄在核心伺服器上的動作歷史記錄檔案中。
- 無動作:阻擋安全性違規,且不會記錄在核心伺服器上的動作歷史記錄檔案中。
關於「HIPS:檔案防護規則」頁
使用此頁面檢視、管理和優先排序檔案防護規則。 檔案防護規則是限制的集合,可防止指定的可執行程式在指定的檔案上執行某種作業。 透過檔案防護規則,您可以允許或拒絕在任何檔案上存取、修改、建立或執行任何程式。
此對話方塊包含下列選項:
- 防護規則:列出 LANDesk 提供的所有預定義(預設)檔案保護規則和所有您建立的檔案保護規則。
- 規則名稱:識別檔案防護規則。
- 限制:按照檔案防護規則限制的檔案上的程式顯示特定的動作。
- 程式:顯示由防護規則保護的可執行程式。
- 上移\下移:確定檔案防護規則的優先等級。 在清單中居較高位置的檔案防護規則優先於較低位置的規則。 例如,您可以建立一個規則限制程式存取及修改某個檔案或檔案類型,但是之後再建立另一個規則以允許針對一個或多個上述程式限制的例外情況。 只要第二個規則在規則清單中佔據較高位置,它就會生效。
- 重設:還原 LANDESK 提供的預定義 (預設) 檔案防護規則。
- 新增:開啟「設定檔案防護規則」對話方塊,在此新增及移除程式和檔案,並且指定限制。
- 編輯:開啟「設定檔案防護規則」對話方塊,在此編輯現有的檔案保護規則。
- 刪除:從資料庫移除檔案保護規則。
NOTE: 檔案防護規則存儲在 FILEWALL.XML 檔案中,位置是:ProgramFiles\Landesk\ManagementSuite\ldlogon\AgentBehaviors\Hips_Behavior.ZIP
關於「HIPS:設定檔案防護規則」對話方塊
使用此頁面設定檔案防護規則。
此對話方塊包含下列選項:
- 規則名稱:用描述性名稱來識別檔案防護規則。
- 監視的程式
- 全部程式:指定所有可執行程式在下列指定的檔案上執行下面選擇的動作時受到限制。
- 指定程式:指定在清單中僅可執行程式具有在下面選擇的套用的限制。
- 新增:允許您選擇由檔案防護規則限制的程式。 您可以使用檔案名稱和萬用字元。
- 編輯:允許您修改程式名稱。
- 刪除:從清單移除程式。
- 例外
- 允許認證程式的例外狀況:允許目前認證檔案清單的任何可執行程式跳過和此檔案防護規則相關聯的限制。
- 保護檔案
- 任何檔案:指定全部檔案根據它們的限制受到保護避免在上面指定的程式修改。
- 命名的檔案:指定僅清單中的檔案受保護。
- 新增:允許您選擇受規則保護的檔案。 您可以使用檔案名稱或萬用字元。
- 編輯:允許您修改檔案名稱。
- 刪除:從清單移除檔案。
- 同時套用至子目錄:在命名目錄的任何子目錄上執行檔案防護規則。
- 受保護檔案上的限制動作
- 讀取存取:防止在上面指定的程式存取受保護的檔案。
- 修改:防止在上面指定的程式對受保護檔案作任何修改。
- 建立:防止在上面指定的程式建立檔案。
- 執行:防止在上面指定的程式執行受保護的檔案。