Конфигурация политик системной защиты

Intel vPro (версии 2.0 и более поздних) включает функцию системной защиты (System Defense), которая реализует политики сетевой защиты на управляемых устройствах. Можно выбрать и применить политики системной защиты на управляемых устройствах.

При применении политики системной защиты на устройстве Intel vPro устройство фильтрует входящие и исходящие сетевые пакеты в соответствии с определенными политиками. При совпадении сетевого трафика с условиями предупреждения, определенными для фильтра, генерируется предупреждение, и сетевой доступ к устройству блокируется. Устройство будет изолировано от сети до тех пор, пока вы не завершите процесс исправления для соответствия данной политике.

LANDesk Management Suite содержит предопределенные политики системной защиты, которые можно применить для устройств Intel vPro. Каждая политика содержит набор фильтров, определяющий, какой вид сетевого трафика недопустим и какие действия нужно выполнить в результате, когда трафик снова станет соответствовать критериям фильтра.

Когда политика System Defense активна на управляемом устройстве, устройство осуществляет мониторинг всего входящего и исходящего сетевого трафика. При обнаружении условий фильтрации происходит следующее:

1. Управляемое устройство посылает предупреждение ASF на главный сервер, и в журнал предупреждений добавляется соответствующая запись.
2. Главный сервер определяет, какая политика была нарушена, и отключает сетевой доступ к управляемому устройству.
3. Устройство появляется в очереди исправлений системной защиты.
4. Для восстановления сетевого доступа к устройству администратор выполняет необходимые исправления и затем удаляет устройство из очереди исправлений. Таким образом, восстанавливается первоначальная политика системной защиты на устройстве.

В следующем разделе этот процесс описан более детально.

Выбор и применение политик System Defense

Management Suite содержит следующие предопределенные политики системной защиты, которые можно применить для устройств Intel vPro. Политики определяются с помощью следующих параметров: номер порта, тип пакета и количество пакетов за определенное время. При включении политики она регистрируется с Intel vPro на выбранных устройствах. Политики сохраняются в виде файлов XML на управляемом устройстве в папке CircuitBreakerConfig.

• BlockFTPSrvr: Эта политика запрещает трафик через порт FTP. При посылке и получении пакетов через порт FTP 21 пакеты отбрасываются, и сетевой доступ приостанавливается.

• LDCBKillNics: Эта политика блокирует трафик через все сетевые порты, кроме следующих портов управления:
  
  

  Описание портов	Диапазон номеров	Направление трафика	Протокол
  Управление LANDesk	9593-9595	Отправка/получение	TCP, UDP
  Управление Intel vPro	16992-16993	Отправка/получение	Только TCP
  DNS	53	Отправка/получение	Только UDP
  DHCP	67-68	Отправка/получение	Только UDP

  
  Когда главный сервер прекращает сетевой доступ к управляемому устройству, он практически применяет данную политику к этому устройству. После удаления устройства из очереди исправления на устройстве восстанавливается первоначальная политика.

• LDCBSYNFlood: Эта политика обнаруживает dos-атаку в виде синхронной лавины пакетов; происходит отказ от обслуживания: при включенном флажке SYN за одну минуту пропускаются не более 10000 пакетов TCP. При превышении этого количества пакетов сетевой доступ приостанавливается.

• UDPFloodPolicy: Эта политика обнаруживает dos-атаку в виде потока UDP-пакетов; происходит отказ от обслуживания: пропускаются не более 20,000 UDP пакетов в минуту на портах, пронумерованных от 0 до 1023. При превышении этого количества пакетов сетевой доступ приостанавливается.

• RemoveAllPolicy: Позволяет удалить все политики, отменяя их регистрацию с Intel vPro на выбранных устройствах.

Для выбора политики системной защиты для всех устройств Intel vPro выполните следующие действия:

1. В главном сервере щелкните Конфигурация > Параметры Intel vPro > Общая конфигурация (Configure > Intel vPro options > General configuration).
2. В разделе Настройка системной защиты по умолчанию (Default System Defense setting) выберите политику из списка.
3. Нажмите OK.

Для выбора политики системной защиты для одного устройства Intel vPro выполните следующие действия:

1. В списке Все устройства (All devices) щелкните правой кнопкой мыши устройство, управляемое Intel vPro, и выберите Политики системной защиты Intel vPro (Intel vPro System Defense Policies).
2. Выберите политику из списка.
3. Щелкните Установить политику (Set Policy).

Включение функции расширенной системной защиты

Для устройств, оснащенных Intel vPro 3.0 или более поздней версии, можно включить функцию Enhanced System Defense (Улучшенная защита системы). Эта функция предотвращает атаки вредоносного программного обеспечения, осуществляя непрерывную проверку сетевого трафика и оценивая его с помощью эвристических правил фильтрации. Она определяет и блокирует подозрительные действия, например, повторяющиеся действия, генерируемые вирусами.

Если обнаружены подозрительные действия, проблемное устройство изолируется от дальнейшего взаимодействия с сетью, за исключением порта исправления, через который Management Suite может переустановить политику System Defense и восстановить сетевое подключение после устранения проблемы.

Для включения функции расширенной системной защиты для всех устройств Intel vPro выполните следующие действия:

1. В главном сервере щелкните Конфигурация > Параметры Intel vPro > Общая конфигурация (Configure > Intel vPro options > General configuration).
2. В разделе Настройка расширенной системной защиты по умолчанию (Default Enhanced System Defense setting) выберите Включить (Turn on).
3. Щелкните OK.

Для включения функции расширенной системной защиты для одного устройства Intel vPro выполните следующие действия:

1. В списке Все устройства (All devices) щелкните правой кнопкой мыши управляемое устройство Intel vPro и выберите Расширенная системная защита Intel vPro (Intel vPro Enhanced System Defense).
2. Щелкните Включить расширенную системную защиту (Turn on Enhanced System Defense), а затем Настройка конфигурации (Set Configuration).

Восстановление сетевого доступа к устройствам в очереди исправлений

Если сетевой доступ к устройству приостановлен в результате применения политики системной защиты, устройство появляется в очереди исправлений. Оно остается там до тех пор, пока вы не удалите его из списка, после чего восстанавливается активная политика на данном устройстве. Перед тем, как это сделать, вы должны решить проблему, в результате которой устройство было помещено в очередь. Например, если был обнаружен трафик FTP, вы должны подтвердить, что были предприняты необходимые действия для предупреждения дальнейшего нежелательного трафика FTP на устройстве.

Для удаления устройства из очереди исправлений выполните следующие действия:

1. Щелкните Конфигурация > Параметры Intel vPro > Исправление системной защиты (Configure > Intel vPro options > System Defense Remediation).
2. Выберите устройства, на которых можно восстановить первоначальную политику системной защиты, и нажмите Исправить (Remediate).

Для исправления устройств с помощью функции расширенной системы защиты выберите Конфигурация > Параметры Intel vPro > Исправление расширенной системной защиты (Configure > Intel vPro options > Enhanced System Defense Remediation), как описано ранее в действии 1.