应用程序控制是如何工作的?

这是趋势科技服务器深度安全防护系统 10 中的新功能。

大多数管理员都想将注意力集中于与计算机最初安装的软件相比较已发生更改的软件(“偏移”或“增量”)。应用程序控制就是为此而设计的。

本地与共享

启用应用程序控制时,趋势科技服务器深度安全防护系统客户端将执行以下操作之一:

如果扫描已安装的软件,则基线如下:特定计算机上通常需要的软件的列表。应用程序控制假设您已批准当前安装的软件。它会创建初始规则集以允许基本软件。(使用 API 将客户端已创建的本地清单上传到趋势科技服务器深度安全防护系统管理中心并对其进行转换时,将创建一个共享规则集。应将共享规则集应用到具有完全相同的清单的计算机。

此后,趋势科技服务器深度安全防护系统客户端会持续监控计算机发生的更改。应用程序控制已与内核以及文件系统集成,因此它有权监控整台计算机,包括由 root 或管理员帐户安装的软件。客户端会监控对软件文件执行的磁盘写入活动,以及软件执行尝试。要确定软件是新的还是已更改的,它会将文件与最初安装的软件的哈希相比较。更改包括不同的:

  • 文件名
  • 路径或位置
  • 时间戳
  • 权限
  • 文件内容

启用应用程序控制后,将记录所有软件更改,但维护模式期间除外。当应用程序控制在文件系统上检测到新的或已更改的软件时,以及软件每次尝试执行(除非您已允许该软件)时,将生成事件。可以创建规则以在特定软件尝试启动时允许或阻止该软件

当应用程序控制发现新软件时,它必须决定是允许还是阻止该软件。为了做出决策,应用程序控制会将软件文件的以下属性:

  • 哈希
  • 文件大小
  • 路径
  • 文件名

与其允许规则或阻止规则中的条目相比较。可能的匹配结果有以下三个:

如果软件为“无法识别”,应用程序控制事件日志中的原因列会解释为什么该软件不与任何允许规则或阻止规则完全匹配。

无法识别的软件(您在规则中明确允许的更改)可能是无害的 Patch 更新或危险的 IT 安全策略违规。因此,您可以根据安全状态配置应用程序控制对无法识别的软件的处理方式

  • 允许执行
  • 阻止执行

无论是由于软件位于阻止规则中还是该软件为无法识别,阻止的软件都无法启动。操作系统中的错误消息(如果该软件有任何错误消息)将报告软件无权运行。 

应用程序控制不会阻止安装该软件。发现新安装时,它会通知您。然后,当软件尝试启动时,如果您已对应用程序控制进行了配置,它会阻止该软件运行。

应用程序控制会将哪些项目检测为软件?

与监控任何文件的完整性监控不同,应用程序控制在检查初始安装以及监控更改时只会查找软件文件。

软件可以是:

  • .so Linux 库(和其他编译的二进制文件和库)
  • Java .jar 文件和 .class 文件(以及其他编译的字节代码)
  • PHP、Python 和 shell 脚本(以及其他 Web 应用程序和实时解释或编译的脚本)

例如,WordPress 及其插件、Apache、IIS、nginx、Adobe Acrobat、app.war 和 /usr/bin/ssh 会检测为软件。

应用程序控制要如何确定文本文件和脚本之间的差别?文本文档没有执行权限。但是,如果某个具有 PHP、Python 或 Java 文件扩展名,则即使该文件具有执行权限,趋势科技服务器深度安全防护系统也会将该文件检测为软件:

  • .class
  • .jar
  • .war
  • .ear
  • .php
  • .py
  • .pyc
  • .pyo
  • .pyz

本地规则集与共享规则集

要提高性能或减少管理工作负担,您可以使用本地规则集、共享规则集,或两者都使用。

  • 共享规则集:所有规则数据同时同步到客户端和管理中心/如果启用中继。这会增加网络使用量和磁盘空间使用量。但是,如果您需要验证来自初始清单扫描或维护模式的规则,或者您管理具有许多应保持相同的计算机的服务器场,则使用这种规则集可能更易于管理。例如,如果您的一个服务器池包含一些相同的 LAMP Web 服务器,或者如果这些服务器是属于自动扩展组一部分的虚拟机 (VM),则共享规则集对您很有用。它还可以减少管理员的工作负担。

    如果您启用了在显式允许之前阻止无法识别的软件,并且计算机只是相似(但不相同),请不要使用共享规则集。它将阻止不在第一台计算机规则集中的其他计算机上的所有软件。如果这些文件中包括关键文件,它可能会破坏操作系统。如果发生这种情况,您可能需要重新安装,恢复备份或使用操作系统恢复模式。
  • 本地规则集:缺省类型。仅将部分数据保存在特定计算机本地。已通过趋势科技服务器深度安全防护系统管理中心配置的允许或阻止规则会发送到客户端;这些规则会同时保存在管理中心和客户端上。但来自客户端初始清单扫描或维护模式的允许规则不会上传到管理中心或中继。这会减少网络使用量和数据库磁盘空间使用量。但是,当您在趋势科技服务器深度安全防护系统管理中心中查看本地规则集时,管理中心不具有客户端的任何本地数据,因此它不会显示这些规则。如果计算机相同,并且可以使用相同的规则集,它也可能导致增加管理员工作负担。