Система предотвращения нарушения доступа к узлу или система HIPS
(Host Intrusion Prevention System (HIPS)) является важным средством
LANDesk Security
Suite и одним из компонентов решения Endpoint Security.
Система HIPS позволяет защитить управляемые устройства от
известных и неизвестных атак нулевого дня внутренних вредоносных
программ, прежде чем они нарушат работу сети. Система HIPS
добавляет дополнительный уровень защиты для управляемых устройств
посредством мониторинга процессов и файлов и использования
настраиваемых правил и политик безопасности для определения
допустимых действий и режимов работы. В определенном смысле система
HIPS защищает системы от самих себя.
Обзор системы предотвращения
нарушения доступа к узлу (HIPS)
Аббревиатура HIPS обозначает "систему предотвращения нарушения
доступа к узлу". Система HIPS обеспечивает дополнительный уровень
защиты — поверх управления исправлениями, антивируса, антишпионских
программ и конфигурации брандмауэра — для предотвращения доступа
вредоносных программ к управляемым устройствам. Система HIPS
осуществляет постоянный мониторинг процессов, файлов, приложений и
ключей реестра в целях предотвращения несанкционированного
поведения. Вы можете управлять тем, какие приложения запускаются на
устройствах и как им разрешено выполняться.
Поскольку система HIPS основана на правилах, а не на
определениях (то есть сигнатурах), она гораздо эффективнее
справляется с защитой систем от атак нулевого дня (злонамеренное
использование уязвимостей в коде до их обнаружения, определения и
исправления).
В отличие от определения и исправления уязвимостей, обнаружения
и удаления шпионских программ или поиска вирусов и помещения их в
карантин для обеспечения защиты системе HIPS не требуются
постоянные обновления файлов, например файлов исправлений, файлов
определений/шаблонов или файлов баз данных сигнатур.
Система HIPS защищает серверы и рабочие станции посредством
размещения программного агента между приложениями и ядром
операционной системы. Используя предварительно заданные правила,
основанные на типичных особенностях атак вредоносных программ, эти
системы выполняют оценку активности, например запросов сетевых
соединений, попыток считывания или записи данных в памяти или
попыток доступа к определенным приложениям. Режим работы,
считающийся безопасным, разрешается, опасный режим блокируется, а
подозрительный режим работы помечается для последующей оценки.
Доступ к средству HIPS и его функциям можно получить из главной
консоли (Сервис > Безопасность > Конфигурации
безопасности (Tools > Security > Security
Configurations)). Средство HIPS позволяет создавать задачи
установки, обновления и удаления агента HIPS, задавать настройки
HIPS, которые можно развернуть на защищаемых целевых устройствах, а
также указывать настройки отображения/взаимодействия HIPS,
определяющие то, как система HIPS отображается и работает на
управляемых устройствах и какие интерактивные параметры доступны
конечным пользователя. Кроме того, можно просмотреть сведения об
активности и состоянии системы HIPS для защищаемых устройств.
Компонент решения Endpoint Security
Система HIPS наряду со средствами "Информация о местоположении"
(Location Awareness), "Брандмауэр LANDesk" (LANDesk Firewall) и
"Управление устройствами" (Device Control) является одним из
компонентов комплексного решения Endpoint Security.
Проактивная защита
Система HIPS активно защищает управляемые устройства следующими
способами:
Предоставление защиты на уровне ядра от приложений,
которые могут попытаться изменить двоичные коды (или указанные вами
файлы) на компьютере или память запущенных процессов. Система
блокирует изменения, внесенные в определенных областях реестра, и
может обнаруживать процессы пакетов программ rootkit.
Использование защиты памяти от множества эксплойтов и
переполнения буфера.
Применение защитных схем для того, чтобы помешать
злоумышленнику создавать и выполнять код в сегмента данных.
Отслеживание несанкционированного или нетипичного
доступа к файлам.
Обеспечение защиты компьютера в режиме реального
времени без использования баз данных сигнатур.
Безопасность на уровне системы
Система HIPS использует следующие методы и средства для
обеспечения безопасности на уровне системы:
Защита файловой системы на уровне ядра с помощью
правил
Защита реестра
Управление автозагрузкой
Обнаружение скрытых пакетов программ rootkit
Сетевая фильтрация
Сертификация процессов и файлов/приложений
Правила защиты файлов, ограничивающие действия,
которые исполняемые программы могут выполнять с заданными
файлами
Функции консоли системы
HIPS
Настройки системы HIPS предоставляют администраторам возможность
определить отдельные профили для различных групп пользователей и
управлять этими профилями. Настройки HIPS обеспечивают выполнение
требований как для каждой группы пользователей в отдельности, так и
для всех групп сразу, позволяя администраторам создавать несколько
очень гибких конфигураций для различных профилей пользователей.
Настройки HIPS могут включать в себя настраиваемую защиту
паролем, обработку данных WinTrust, режим защиты, настраиваемые
белые списки, политики управления доступом к сети и приложениям,
сертификации файлов и правила защиты файлов.
Функции клиента HIPS
Клиент HIPS предоставляет администраторам новое эффективное
средство, позволяющее управлять тем, какие приложения могут
запускаться на корпоративных компьютерах и серверах и какое именно
выполнение им разрешено.
Клиентское программное обеспечение HIPS использует проверенные
методики эвристического анализа и распознавания поведения для
определения типичных шаблонов и действий вредоносного кода.
Например, файл, который пытается выполнить запись в реестр системы,
может быть заблокирован и помечен как потенциально вредоносный.
Клиент HIPS использует различные патентованные методики для
уверенного определения вредоносных программ даже до идентификации
сигнатуры.
Поддерживаемые платформы
устройств
Система HIPS поддерживает многие из тех платформ настольных
компьютеров и серверов, которые поддерживаются стандартными
платформами устройств под управлением LANDesk, включая следующие
операционные системы:
Windows 2000 SP2
Windows 2003
Windows 2008
Windows XP с пакетом обновления SP1
Windows Vista (32- и 64-разрядная версия)
Windows 7
ВАЖНО:Система
HIPS не поддерживается на главный серверах или главных серверах
объединения
Не следует устанавливать и развертывать HIPS на главном сервере или
главном сервере объединения. Однако систему HIPS можно развернуть
на дополнительной консоли.
Поддерживаемые
антивирусные продукты
Система HIPS совместима с антивирусным решением LANDesk Security Suite
Antivirus, а также с несколькими сторонними антивирусными
продуктами. Наличие совместимости означает, что система HIPS не
вмешивается в процессы антивируса, такие как сканирования, защита в
режиме реального времени и т. д.
Убедитесь, что на управляемых устройствах, которые требуется
настроить с использованием системы HIPS, установлен один из
следующих антивирусных продуктов:
Анттивирус LANDesk
Symantec Antivirus (версии 7, 8, 9, 10.1, 10.2)
McAfee VirusScan (версии 7.0, 8.0, 8.5i)
Trend Micro PC-cillin (версии 2005, 2006)
Trend Micro OfficeScan (версии 6.5, 7.3)
Trend Micro ServerProtect (версии 5.58)
CA eTrust InoculateIT (версии 6.0)
CA eTrust Antivirus (версии 7.0, 7.1, 8.0, 8.1)
ESET NOD32 (версии 2.7)
Не развертывайте систему HIPS на устройства, где
установлены другие антивирусные продукты.
Лицензирование HIPS
Для доступа к средству HIPS вы должны сначала активировать
главный сервер с использованием лицензии HIPS.
Для получения сведений о лицензировании HIPS обратитесь к
реселлеру или посетите web-сайт LANDesk.
Администрирование на основе ролей с
использованием системы HIPS
Система HIPS, как и средство "Исправление и проверка
соответствия" (Patch and Compliance), использует ролевое
администрирование для назначения доступа пользователей к функциям и
компонентам. Ролевое администрирование — это модель организации
доступа и защиты, которая позволяет администраторам LANDesk
ограничивать доступ пользователей к средствам и устройствам. Каждый
пользователь имеет назначенные роли и область, определяющую
функции, которые он может использовать, и устройства, которыми он
может управлять.
Администратор назначает эти роли другим пользователям с помощью
средства "Пользователи" (Users) в консоли. Система HIPS включена в
право "Конфигурации безопасности" (Security Configurations),
которое отображается в группе прав безопасности в диалогом окне
"Роли" (Roles). Чтобы просмотреть и использовать функции системы
HIPS, пользователю должны быть назначены соответствующие права
доступа "Конфигурации безопасности" (Security Configurations).
ВАЖНО:Требуется
разрешение группы LANDesk Script Writers
Для создания запланированных задач и политик в утилите исправлений
и проверки соответствия и утилите конфигурации безопасности (задачи
сканирования системы безопасности и проверки соответствия, задачи
исправления и задачи изменения настроек) пользователю необходимо
разрешение группы LANDesk Script Writers. Другими словами, он
должен входить в группу, которой назначено разрешение LANDesk
Script Writers. Для получения дополнительной информации о ролевом
администрировании см. раздел Ролевое
администрирование.
С помощью права "Конфигурации безопасности" (Security
Configurations) можно предоставить пользователям возможность
выполнять следующее:
Просмотр и использование функций системы
предотвращения нарушения доступа к узлу (HIPS) в меню "Сервис"
(Tools) консоли и инструментарии.
Настройка управляемых устройств для защиты с помощью
системы HIPS.
Управление настройками HIPS (защита паролем,
обработка подписанного кода, действия, режим защиты, сертификации
файлов, правила защиты файлов и т. д.).
Развертывание задач установки или обновления HIPS, а
также задач изменения настроек.
Просмотр активности HIPS для защищенных
устройств.
Определение настроек предельных значений для данных
HIPS, используемых для регистрации и отображения активности
HIPS.
Последовательность действий
задач системы HIPS
Следующие действия предоставляют общий краткий обзор типовых
процессов или задач, вовлеченных в защиту сети с помощью системы
HIPS. Все эти процедуры подробно описаны в последующих
разделах.
Основные действия по реализации и использованию системы
HIPS:
Настройка управляемых устройств для защиты с помощью
системы HIPS (развертывание агента на целевые устройства).
Настройка параметров HIPS с помощью настроек HIPS,
таких как обработка подписанного кода, режим защиты, белые списки
(приложения, для которых разрешен запуск на устройствах),
сертификации файлов, правила защиты файлов и доступные конечному
пользователю интерактивные параметры.
Обнаружение поведения файлов и приложений на
устройствах в режиме обучения HIPS.
Реализация защиты с помощью системы HIPS на
управляемых устройствах посредством режима автоматической
блокировки HIPS.
Просмотр активности HIPS для защищенных
устройств.
Настройка устройств для защиты с
помощью системы HIPS
Перед тем, как управляемые устройства могут быть защищены от
атак нулевого дня, на них необходимо установить агент Endpoint
Security. Агент Endpoint Security — это отдельная служба агента,
которая управляет всеми компонентами Endpoint Security, включая
систему HIPS.
Настроить устройства на защиту с помощью системы HIPS можно во
время начальной настройки агента устройства или с помощью отдельной
задачи установки или обновления.
Для установки или обновления системы HIPS на управляемых
устройствах с помощью настройки агента
На панели инструментов нажмите кнопку Новые
окна (New Windows).
Указав требуемые настройки конфигурации агента,
необходимо сначала щелкнуть страницу Старт (Start) и выбрать
параметр Endpoint Security в области Безопасность
(Security). (При этом выполняется развертывание агента на целевые
устройства, но вам все еще нужно задать настройки HIPS.)
После этого можно перейти к параметрам на странице
Endpoint Security.
Выберите одну из настроек в списке, чтобы применить
ее к создаваемой конфигурации агента. Можно создать новые настройки
или изменить существующие, щелкнув Настроить (Configure).
Настройки Endpoint Security содержат настройки HIPS (среди настроек
других компонентов безопасности). Настройки HIPS позволяют
определить следующее: защита клиента HIPS с помощью пароля,
обработка подписанного кода WinTrust, действие, выполняемое для
программ из автозагрузки системы, защита от переполнения буфера,
режим работы, белые списки, сертификации файлов и правила защиты
файлов.
Завершите определение настроек для конфигурации
агента и нажмите кнопку Сохранить (Save).
Если требуется установить или обновить систему HIPS позднее, это
можно сделать с помощью средства Конфигурации безопасности
(Security Configurations) из консоли.
Для выполнения установки или обновления системы HIPS в виде
отдельной задачи
В консоли щелкните Сервис > Безопасность >
Конфигурации безопасности (Tools > Security > Security
Configurations).
Щелкните кнопку Создать задачу (Create a task)
на панели инструментов, а затем щелкните Установить/обновить
компоненты безопасности (Install/Update security
components).
Введите имя задачи.
Укажите, относится ли установка к запланированным
задачам, задачам на основе политик или к обоим этим типам.
Выберите настройку Endpoint Security в списке, чтобы
применить ее к создаваемой конфигурации агента. Можно создать новые
настройки или изменить существующие, щелкнув Настроить
(Configure). Настройки Endpoint Security содержат настройки HIPS
(среди настроек других компонентов безопасности).
Если требуется отобразить процесс установки в
диалоговом окне сканера безопасности на целевых устройствах,
выберите Отобразить диалоговое окно хода выполнения на
клиенте (Show progress dialog on client).
Выберите настройку сканирования и восстановления в
списке, чтобы применить конфигурацию перезагрузки (только) к
создаваемой конфигурации агента. Можно создать новые настройки или
изменить существующие, щелкнув Настроить (Configure).
Помните о том, что только параметры перезагрузки, указанные
в выбранных настройках сканирования и восстановления, используются
в развертывании агента Endpoint Security на целевых устройствах в
рамках конфигурации данного агента. Можно использовать существующую
настройку сканирования и восстановления, уже включающую в себя
требуемую конфигурацию перезагрузки, или можно создать полностью
новую настройку сканирования и восстановления специально для
развертывания агента.
Щелкните OK.
Удаление системы HIPS с
устройств
Если необходимо удалить систему HIPS с управляемых устройств,
это можно сделать с помощью отдельной задачи из консоли.
Для удаления системы HIPS
В консоли щелкните Сервис > Безопасность >
Конфигурации безопасности (Tools > Security > Security
Configurations).
Щелкните кнопку Создать задачу (Create a task)
на панели инструментов, а затем щелкните Удалить компоненты
безопасности (Remove security components).
Введите имя задачи.
Укажите, относится ли установка к запланированным
задачам, задачам на основе политик или к обоим этим типам.
Выберите компонент Endpoint Security для удаления
агента, который включает в себя систему HIPS.
Если требуется отобразить процесс установки в
диалоговом окне сканера безопасности на целевых устройствах,
выберите Отобразить диалоговое окно хода выполнения на
клиенте (Show progress dialog on client).
Выберите настройку сканирования и восстановления в
списке, чтобы применить конфигурацию перезагрузки к создаваемой
задаче. Можно создать новые настройки или изменить существующие,
щелкнув Настроить (Configure). Задача будет использовать
только параметры перезагрузки для выбранных настроек
сканирования и восстановления, определяющие требования к
перезагрузке и действия, выполняемые на целевых устройствах во
время удаления агента.
Щелкните OK.
Конфигурирование защиты HIPS с
помощью настроек системы HIPS
Настройки HIPS позволяют полностью контролировать работу системы
HIPS на целевых устройствах и управлять доступными конечным
пользователям параметрами.
В данном разделе описывается создание настроек системы HIPS и
управление ими:
Вы можете создавать и применять настройки HIPS для задачи
установки или обновления HIPS или для задачи изменения настроек.
Можно создать любое количество настроек HIPS. Настройки HIPS могут
быть созданы для определенной цели, предназначены для набора
целевых устройств, или установлены на определенное время.
Для создания настроек HIPS
В окне средства Конфигурации безопасности
(Security Configurations) щелкните элемент Система
предотвращения нарушения доступа к узлу (Host Intrusion
Prevention System) правой кнопкой мыши и выберите Создать
(New).
На странице Общие настройки (General settings)
введите имя для настроек HIPS и затем укажите общие требования и
действия. Для получения сведений о параметре см. раздел Справка по настройкам системы HIPS.
На странице Конфигурация режима (Mode
configuration) выберите, требуется ли включить режим автоматической
блокировки или режим обучения HIPS. Кроме того, можно создать белый
список (приложения, для которых разрешен запуск на устройствах) на
основании текущих сертифицированных файлов и указать, требуется ли
сначала использовать создание белого списка в течение заданного
периода времени, а затем снова включить режим автоматической
блокировки, или продолжить использование режима обучения.
(ПРИМЕЧАНИЕ. Если в качестве общего режима защиты выбран
режим обучения и требуется создать белый список, параметр включения
режима автоматической блокировки отключается.)
На странице Списки доверенных файлов (Trusted
file lists) добавьте, измените или удалите списки доверенных
файлов.
На странице Правила защиты файлов (File
protection rules) добавьте, измените или удалите правила защиты
файлов или назначьте им приоритет. Система HIPS включает в себя
предварительно заданный (используемый по умолчанию) набор правил
защиты.
На любых страницах настроек можно в любое время
щелкнуть кнопку Сохранить (Save), чтобы сохранить заданные
параметры для настроек HIPS, или кнопку Отмена (Cancel),
чтобы выполнить выход из диалогового окна без сохранения
настроек.
После настройки можно выполнить развертывание настроек HIPS на
целевые устройства с помощью задачи установки или обновления или
задачи изменения настроек.
Изменение настроек
HIPS по умолчанию
Настройки HIPS по умолчанию для устройства развертываются в
рамках начальной настройки агента. В определенной ситуации может
потребоваться изменить эти настройки HIPS по умолчанию для
отдельных устройств. Система HIPS позволяет сделать это без
необходимости повторного развертывания полностью новой и полной
конфигурации агента.
Для этого щелкните задачу Изменить настройки (Change
settings) в раскрывающемся списке кнопки панели инструментов
Создать задачу (Create a task). Отображаемое диалоговое окно
позволяет ввести для задачи уникальное имя, указать, является ли
эта задача или политика запланированной, а также выбрать
существующие настройки HIPS в качестве используемых по умолчанию
или использовать кнопку Правка (Edit) для создания новых
настроек HIPS в качестве используемых по умолчанию для целевых
устройств.
Просмотр
настроек HIPS устройства в инвентаризации
Настройки HIPS можно просмотреть и/или проверить в представлении
инвентаризации устройства.
Для этого щелкните выбранное устройство правой кнопкой мыши и
выберите Инвентаризация > Управление LANDesk > Система предотвращения
нарушения доступа к узлу (Inventory > LANDesk Management > Host
Intrusion Prevention System).
Справка по настройкам системы HIPS
Используйте это диалоговое окно для создания и изменения
настроек HIPS. При создании настроек HIPS сначала определяется
общие требования и действия, а затем добавляются конкретные
сертификации файлов. Можно создать любое количество настроек HIPS,
а также изменять их в любое время.
Если требуется изменить настройки HIPS по умолчанию для
устройства без переустановки агента HIPS или повторного
развертывания полной конфигурации агента, внесите необходимые
изменения в любые из параметров в данном диалоговом окне настроек,
назначьте новые настройки задаче изменения настроек и затем
выполните развертывание этой задачи изменения настроек на целевых
устройствах.
В этом диалоговом окне находятся следующие страницы:
Информация о системе
HIPS: страница "Общие настройки" (General settings)
Используйте данную страницу, чтобы задать общие настройки защиты
и действия для системы HIPS.
На этой странице находятся следующие параметры:
Имя (Name): Уникальное имя для настроек HIPS.
Это имя отображается в списке настроек HIPS в диалоговом окне
задачи установки или обновления компонентов безопасности.
Настройки защиты (Protection settings):
Существует два типа защиты: HIPS и белый список. Можно выбрать как
один, так и оба этих типа. Оба типа защиты используют один режим
работы, который выбирается на странице "Конфигурация режима" (Mode
configuration). (ПРИМЕЧАНИЕ. Для этого общего порядка
реализации защиты существует одно исключение. Если указать для
защиты режим обучения и выбрать только параметр обучения для
белого списка, то обучение ведется только по приложениям из белого
списка, а для защиты HIPS устанавливается режим автоматической
блокировки.)
Включение компонента предотвращения нарушения
доступа к узлу (Enable host intrusion prevention): Включение
защиты с использованием системы HIPS. Этот параметр разрешает
запуск всех программ (кроме случаев, когда работа программы
угрожает безопасности системы) в соответствии с предварительно
заданными правилами защиты. Файлам программ можно предоставлять
специальные права с помощью списков доверенных файлов, настраивая
пользовательские сертификации файлов. Функция защиты HIPS
отслеживает поведение приложений (разрешено ли приложению изменять
другой исполняемый файл, изменять реестр и т. д.) и применяет
правила безопасности.
Использовать защиту от переполнения буфера (Use
Buffer Overflow Protection): Защита устройств от эксплойтов
памяти системы, которые позволяют использовать в своих целях
программу или процесс, ожидающие ввода данных пользователем.
ПРИМЕЧАНИЕ. Защиту от переполнения буфера можно включить на
устройстве под управлением 32-разрядной ОС Windows независимо от
того, поддерживает ли его процессор технологию запрета/выключения
выполнения NX/XD (No eXecute/eXecute Disable). Если процессор не
поддерживает технологию NX/XD, то она эмулируется. Если же
процессор поддерживает технологию NX/XD, но она выключена в BIOS
или конфигурации загрузки, включить защиту от переполнения буфера
нельзя. Обратите внимание на то, что клиент Endpoint Security
отображает сведения о том, включена ли защита от переполнения
буфера на устройстве конечного пользователя. Защита от переполнения
буфера не поддерживается на устройствах под управлением
64-разрядной ОС Windows, поскольку компонент защиты ядра от
изменений Kernel Patch Protection (KPP) препятствует исправлению
ядра.
ВАЖНО! Мы настоятельно рекомендуем сначала проверить работу
защиты от переполнения буфера в используемых конфигурациях
оборудования и только после этого выполнять широкомасштабное
развертывание на управляемые устройства в сети. Некоторые
конфигурации с определенными процессорами (до Pentium 4 с
технологией HT или HyperThreading), работающие под управлением
определенных версий ОС Windows, могут не полностью поддерживать
защиту от переполнения буфера.
Включить защиту с помощью белого списка (Enable
whitelist protection): Включение защиты с использованием белого
списка. В этом случае разрешается запуск только тех приложений,
которые указаны в списке доверенных файлов и в сертификации файлов
которых включен параметр разрешения выполнения.
WinTrust: Определение предоставления прав для
программного обеспечения с цифровой подписью. Исполняемый файл с
цифровой подписью, сделанной его издателем, считается доверенным;
соответствующая цифровая подпись отображается в диалоговом окне
свойств файлов. Система HIPS назначает права для программного
обеспечения с цифровой подписью на основании выбранного вами
параметра ("Не проверять на подписанный код" (Don't check for
signed code), "Автоматически разрешать подписанный код"
(Automatically allow signed code) или "Автоматически разрешать
подписанный код этих поставщиков" (Automatically allow signed code
from these vendors)).
Действие для
выполнения (Action to take): Определение действия, выполняемого
при добавлении программы в папку запуска для устройства. Этот
параметр представляет собой второй уровень защиты в отношении
авторизации процессов в системной папке автозагрузки. Система HIPS
отслуживает содержимое запуска и при обнаружении нового процесса
выполняет выбранное действие ("Предупредить и запросить действие"
(Alert and prompt for action), "Зарегистрировать в отчете без
предупреждения" (Simply log in report without alert) или "Удалять
из автозагрузки без предупреждения" (Remove from startup without
alerting)).
Установить по умолчанию (Set as default):
Назначение данной настройки в качестве используемой по умолчанию
для задач, использующих настройки HIPS.
ИД (ID): Идентификатор данной настройки. Эти
сведения хранятся в базе данных и могут использоваться для
отслеживания каждой из настроек.
Сохранить (Save): Сохранение изменений и
закрытие диалогового окна.
Отмена (Cancel): Закрытие диалогового окна без
сохранения изменений.
Информация о системе HIPS:
страница "Конфигурация режима" (Mode configuration)
Используйте данную страницу для настройки режима работы защиты
HIPS.
На этой странице находятся следующие параметры:
Режим предотвращения нарушения доступа к узлу
(Host intrusion prevention mode): Указание режима защиты,
используемого при включении защиты HIPS.
Авторежим (Automatic mode): Автоматическая
блокировка всех нарушений безопасности (изменения программного
обеспечения и системы). Другими словами, применяются все правила
сертификации файлов, созданные для конкретных файлов.
Срок использования режима обучения (Use learn mode
for): Указание временного периода, в течение которого
приложениям разрешается выполняться на устройстве конечного
пользователя во время действия правил безопасности. В течение этого
периода отслеживается (или изучается) поведение приложений, а
полученные сведения отправляются назад в базу данных главного
сервера.
ПРИМЕЧАНИЕ. Эти два параметра временного периода применяются
последовательно. Другими словами, если выбраны оба параметра,
сначала начинается период режима обучения, а после его окончания
начинается период мониторинга.
Срок использования режима мониторинга (Use monitor
mode for): Указание временного периода, в течение которого
приложениям разрешается выполняться при отключенных правилах
безопасности. Поведение приложений, включая нарушения,
регистрируется в файле журнала действий.
Режим обучения (Learn mode): Разрешены все
нарушения безопасности, но при этом отслеживается (или изучается)
поведение приложений, а полученные сведения отправляются назад в
базу данных главного сервера. Используйте этот режим работы для
обнаружения поведения приложений на конкретном устройстве или
наборе устройств, а затем используйте полученные сведения для
настройки политик HIPS перед развертыванием и внедрением защиты
HIPS в сети.
Режим мониторинга (Monitor mode): Разрешение
нарушений безопасности и их регистрация в файле журнала действий на
главном сервере.
Режим блокировки (Block mode): Блокировка
нарушений безопасности и отключение их регистрации в файле журнала
действий на главном сервере.
Режим белого списка (Whitelist mode): Указание
режима защиты, используемого при включении защиты с помощью белого
списка. Защита с помощью белого списка означает, что разрешается
запуск только тех приложений, которые указаны в списке доверенных
файлов и назначены белому списку (приложения, в сертификации файлов
которых включен параметр разрешения выполнения).
Информация о
системе HIPS: страница "Списки доверенных файлов" (Trusted file
lists)
Используйте данную страницу для просмотра списков доверенных
файлов и управления ими. Списки доверенных файлов состоят из файлов
с определенным настроенным набором прав (привилегий или
авторизаций), разрешающих и запрещающих определенные действия,
которые приложение может выполнить над файлом.
На этой странице находятся следующие параметры:
Списки доверенных файлов (Trusted file lists):
Отображение списков, которые содержат файлы с настроенными для HIPS
правами.
Add (Добавить): Открытие диалогового окна
"Настройка списков доверенных файлов" (Configure trusted file
lists), в котором можно управлять списками доверенных файлов.
Правка (Edit): Изменение выбранного списка
доверенных файлов.
Параметры обучения (Learning activity
options): Указание способа обработки активности файлов при
включении режима защиты с обучением.
Список обучения (Learning list): Отображение
списка доверенных файлов, к которому применяется зарегистрированная
активность файла.
Добавлять зарегистрированные данные только в
список обучения (Add learning activity only into the learning
list): Ограничение применения зарегистрированной активности
файла только указанным списком файлов.
Добавлять зарегистрированные данные в каждый
список с таким файлом (Add learning activity into each list where
the same file already exists): Разрешение применения
зарегистрированной активности файла к любому списку файлов,
содержащему данный файл.
Информация о
диалоговом окне "Список доверенных файлов" (Trusted file list)
Используйте это диалоговое окно для управления списками
доверенных файлов. Списки доверенных файлов состоят из файлов с
определенным настроенным набором прав (привилегий или авторизаций),
разрешающих и запрещающих определенные действия, которые
приложение может выполнить над файлом.
В этом диалоговом окне находятся следующие параметры:
Имя (Name): Уникальное имя списка доверенных
файлов. С помощью функции Найти (Find) в списке можно
выполнить поиск элементов, содержащих определенное слово или
определенную фразу. В полученном списке отображаются только
элементы, соответствующие заданным условиям поиска.
Add (Добавить): Открытие диалогового окна
проводника, где можно найти и выбрать файл, для которого требуется
настроить сертификации файлов.
Правка (Edit): Изменение выбранных
сертификаций файлов.
Удалить (Delete): Удаление выбранного файла и
его сертификаций.
Переместить (Move): Открытие диалогового окна,
в котором можно выбрать один или несколько доверенных файлов и
скопировать или переместить их в другой список.
Установить по умолчанию (Set as default):
Назначение данного списка доверенных файлов в качестве
используемого по умолчанию для задач, использующих настройку HIPS
(или брандмауэра).
ИД (ID): Идентификатор данного списка. Эти
сведения хранятся в базе данных и могут использоваться для
отслеживания каждого из списков.
Информация о диалоговом окне
"Доверенный файл" (Trusted file)
Используйте это диалоговое окно для настройки прав системы HIPS
и/или брандмауэра LANDesk Firewall для конкретного файла
приложения.
В этом диалоговом окне находятся следующие параметры:
Имя файла (File name): Идентификация файла
приложения, которому назначаются сертификации.
Полный путь (Full path): Указание расположения
файла.
Размер файла (File size): Указание размера
файла (в КБ).
Дата файла (File date): Указание даты и
времени создания файла.
Версия (Version): Указание номера версии файла
при ее наличии.
Сертифицировано (Certified): Указание даты и
времени создания или последнего изменения сертификаций файла.
Хэш MD5 (MD5 hash): Отображение хэша MD5
файла. Этот хэш используется для проверки целостности файла.
Описание (Description): Предоставление
текстового поля для ввода описания файла.
Обойти всю защиту (Bypass all protection):
Предоставление файлу приложения полных привилегий. Этот файл
совершенно не фильтруется и не отслеживается.
Обойти защиту от переполнения буфера (Bypass
buffer overflow protection): Разрешение обхода защиты от
переполнения буфера. Этот параметр рекомендуется использовать для
файлов (процессов), которые имеют сертификации и являются
доверенными.
Безопасность системы
Изменить исполняемые файлы (Modify executable
files): Предоставление приложению права на изменение других
исполняемых файлов.
Изменить защищенные файлы (Modify protected
files): Предоставление приложению права на изменение защищенных
файлов. Можно создать список защищенных файлов, таких как агенты
устройств LANDesk
Management Suite.
Изменить защищенные ключи реестра (Modify
protected registry keys): Предоставление приложению права на
изменение защищенных ключей реестра. Защищенные ключи предотвращают
заражение вредоносными программами.
Безопасность сети
Отправить сообщения электронной почты (Send
e-mails): Разрешение отправки сообщений электронной почты
приложением. (ПРИМЕЧАНИЕ. Система HIPS распознает
стандартные приложения клиентов электронной почты и автоматически
сертифицирует их, чтобы они могли отправлять сообщения электронной
почты.)
Файлы на диске
Добавить в автозагрузку системы (Add to system
startup): Предоставление приложению права на добавление файлов
в автозагрузку системы.
Разрешить выполнение (Allow execution):
Разрешение выполнения приложения (процесса) на устройстве. Для
сертифицированных файлов выполнение разрешается автоматически.
Кроме того, если сертификация файла предоставляет частичные права,
то параметр разрешения выполнения включается автоматически.
Расширенные правила безопасности
Защитить приложение в памяти (Protect application
in memory): Включение защиты для приложения во время его
выполнения в памяти. Приложение защищается от завершения и
изменения.
Наследовать дочерними процессами (Inherit to child
processes): Назначение тех же сертификаций файлов (прав) всем
подчиненным процессам, выполняемым данным приложениям. Например,
это можно использовать для исполняемого файла настройки или
установки, чтобы передать те же самые права последующим процессам,
запущенным программой настройки.
Авторизованный установщик (Authorized
installer): Разрешение приложению выполнять установку или
развертывание ПО. Этот параметр подходит для средства
распространения ПО LANDesk Management Suite и
может также применяться к другим приложениям распространения
ПО.
Параметры обучения
Заблокировать доверенный файл (права файла не
обновляются в режиме обучения) (Lock trusted file (file rights will
not be updated via learn mode)):
Сопоставить эту запись только по имени файла
(Match this entry based only on file name):
ОК: Сохранение сертификаций файлов и
добавление их в список сертифицированных файлов в главном
диалоговом окне настроек HIPS.
Отмена (Cancel): Закрытие диалогового окна
без сохранения сертификаций файлов.
Информация о
системе HIPS: страница "Правила защиты файлов" (File protection
rules)
Используйте данную страницу для просмотра правил защиты файлов,
управления ими и назначения им приоритетов. Правила защиты файлов
представляют собой набор ограничений, которые предотвращают
выполнение исполняемыми программами определенных действий
над заданными файлами. С помощью правил защиты файлов можно
разрешать и запрещать осуществление любой программой доступа,
изменения, создания и выполнения по отношению к любому файлу.
В этом диалоговом окне находятся следующие параметры:
Правила защиты (Protection rules): Отображение
списка предварительно заданных (используемых по умолчанию) правил
защиты файлов, предоставленных LANDesk, а также всех созданных вами
правил защиты файлов.
Имя правила (Rule name): Идентификация правила
защиты файлов.
Ограничения (Restrictions): Отображение
определенных действий программ над файлами, которые ограничены
правилом защиты файлов.
Применить правило для (Apply rule to):
Отображение исполняемых программ, защищенных правилом защиты
файлов.
Вниз\Вверх (Move Up \ Down): Определение
приоритета правила защиты файлов. Чем выше правило защиты файлов
расположено в списке, тем больший приоритет оно имеет. Например,
можно создать правило, ограничивающее для программы доступ к
определенному файлу или типу файлов и их изменение, а затем создать
другое правило, которое разрешает исключение из указанного
ограничения для одной или нескольких программ. Пока второе правило
находится в списке выше первого, оно применяется.
Сброс (Reset): Восстановление предварительно
заданных (используемых по умолчанию) правил защиты файлов,
предоставленных LANDesk.
Add (Добавить): Открытие диалогового окна
"Настройка правила защиты файлов" (Configure file protection rule),
в котором можно добавлять и удалять программы и файлы и задавать
ограничения.
Настройка (Configure): Открытие диалогового
окна "Настройка правила защиты файлов" (Configure file protection
rule), в котором можно изменить существующее правило защиты
файлов.
Удалить (Delete): Удаление правила защиты
файлов из базы данных.
ПРИМЕЧАНИЕ: Правила
защиты файлов хранятся в файле FILEWALL.XML, расположенном в:
ProgramFiles\Landesk\ManagementSuite\ldlogon\AgentBehaviors\Hips_Behavior.ZIP
Информация о
системе HIPS (About the HIPS): Информация о системе HIPS:
диалоговое окно "Настройка правила защиты файлов" (Configure file
protection rule)
Используйте данную страницу для настройки правил защиты
файлов.
В этом диалоговом окне находятся следующие параметры:
Имя правила (Rule name): Описательное имя
правила защиты файлов.
Применить правило для (Apply rule to):
Все программы (All programs): Запрет всем
исполняемым программам выполнять выбранные ниже действия для
выбранных ниже файлов.
Перечисленные программы (Programs named):
Применение выбранных ниже ограничений только к перечисленным
исполняемым программам.
Add (Добавить): Выбор программ, ограничиваемых
правилом защиты файлов. Можно использовать имена файлов и символы
шаблона.
Правка (Edit): Изменение имени программы.
Удалить (Delete): Удаление программы из
списка.
Ограничения (Restrictions):
Отклонить доступ (Deny access): Предотвращение
доступа указанных выше программ к защищенным файлам.
Отклонить изменение (Deny modification):
Предотвращение внесения изменений указанными выше программами в
защищенные файлы.
Отклонить создание (Deny creation):
Предотвращение создания файлов указанными выше программами.
Отклонить выполнение (Deny execution):
Предотвращение запуска защищенных файлов указанными выше
программами.
Исключения
Разрешить исключения для сертифицированных
программ (Allow exceptions for certified programs): Разрешение
исполняемым программам, относящимся к списку сертифицированных
файлов, обходить ограничения, связанные с данным правилом защиты
файлов.
Файлы
Любые файлы (Any files): Защита всех файлов от
указанных выше программ в соответствии с их ограничениями.
Файлы с именами (Files named): Защита только
файлов, указанных в данном списке.
Add (Добавить): Выбор файла или файлов,
защищаемых правилом. Можно использовать имена файлов или символы
шаблона.
Правка (Edit): Изменение имени файла.
Удалить (Delete): Удаление файла из
списка.
Применить к подкаталогам (Apply to sub-directories
too): Распространение действия правил защиты файлов на все
подкаталоги указанного каталога.
Описание режима
обучения системы HIPS
Система HIPS может работать в одном из следующих режимов защиты:
"Авто" (Automatic), "Обучение" (Learn), "Только регистрация" (Log
only) или "Блокировка" (Block).
Использование режима обучения системы HIPS
Ниже приведено описание процесса работы режима обучения системы
HIPS:
В режиме обучения система HIPS изучает, приложения
какого типа установлены на устройстве, как они работают и их права
(привилегии).
Система HIPS отслеживает активность на устройстве и
регистрирует эти сведения в файле журнала действий.
Данные журнала действий отправляются с устройства на
главный сервер.
Администраторы просматривают журнал действий, чтобы
узнать об операциях, выполняемых различными приложениями на
устройстве. (Файлы/приложения и сопоставленные права, указанные в
файле журнала действий (XML), отображаются на странице
"Сертификации файлов" (File certifications) диалогового окна
"Настройки HIPS" (HIPS settings).)
Администраторы могут задавать настройки HIPS, чтобы
предоставлять и отменять привилегии для соответствующих
приложений.
Режим обучения можно применить к
управляемым устройствам, разрешив нарушения HIPS до
развертывания новой настройки HIPS, кроме того, режим обучения
можно сначала применить на заданный период времени для определения
запускаемых приложений и их поведения и создания белого списка
(приложения, для которых разрешен запуск на устройствах). Если
основным режимом защиты является автоматическая блокировка, можно
все равно использовать режим обучения для обнаружения поведения
приложений, а затем снова включить режим автоматической блокировки
после окончания периода обучения.
Обратите внимание на то, что для передачи журнала действий как
главный сервер, так и управляемое устройство должны работать в
режиме обучения.
Объединение сертификаций
системы HIPS
Можно объединить сертифицированные файлы HIPS из одной настройки
HIPS для одной или нескольких других настроек HIPS. Это позволяет
легко и просто обновлять и совместно использовать настройки
сертифицированных файлов.
Для объединения сертифицированных файлов HIPS
В окне средства Конфигурации безопасности
(Security Configurations) щелкните элемент Система
предотвращения нарушения доступа к узлу (Host Intrusion
Prevention System) правой кнопкой мыши и выберите Объединить
сертифицированные файлы (Merge certified files).
Выберите исходную конфигурацию в списке.
Укажите, требуется ли объединить различия в
сертифицированных файлах или просто заменить все сертифицированные
файлы.
Выберите целевые конфигурации.
Щелкните OK.
Информация о
диалоговом окне "Объединение сертифицированных файлов" (Merge
certified files)
Используйте это диалоговое окно для настройки и выполнения
средства объединения сертифицированных файлов HIPS между одной или
несколькими настройками HIPS.
В этом диалоговом окне находятся следующие параметры:
Исходная конфигурация (Source configuration):
Указание настроек HIPS, сертифицированные файлы которых требуется
объединить с выбранными целевыми конфигурациями.
Объединить различия в сертифицированных файлах
(Merge differences in certified files): Замена всех общих
сертифицированных файлов в целевых конфигурациях на файлы из
исходной конфигурации и добавление уникальных сертифицированных
файлов из исходной конфигурации в целевые конфигурации.
Заменить сертифицированные файлы (Replace
certified files): Принудительная замена всех файлов в целевых
конфигурациях на сертифицированные файлы из исходной
конфигурации.
Целевые конфигурации (Target configurations):
Указание целевых конфигураций, которые необходимо объединить с
исходной конфигурацией. Выберите целевые конфигурации в списке
доступных конфигураций.
