允许或阻止软件
这是趋势科技服务器深度安全防护系统 10 中的新功能。
启用应用程序控制并配置日志记录或警报后,您可能会收到指明趋势科技服务器深度安全防护系统客户端已检测到无法识别的软件更改的通知。然后,您可以决定允许还是阻止该软件,也可以仅继续监控而不执行任何操作。
要快速查找所有计算机上的所有软件更改并且轻松地为这些更改创建允许规则或阻止规则,请使用操作选项卡。
- 转至操作。
-
要仅显示无法识别的软件的特定实例或对其进行排序,请执行以下操作:
- 从“应用程序控制: 软件更改”旁边的下拉菜单中选择一个时间范围(例如最近 24 小时内),以忽略不在该时间段内的所有事件
-
在左侧的窗格中,选择一个计算机组或智能文件夹
与计算机选项卡不同,这些窗格通常不会显示所有计算机。如果应用程序控制没有检测到未授权的软件更改,或者如果您已通过创建允许规则或阻止规则解决了这些更改,则此窗格的计算机组和智能文件夹为空。 - 在搜索过滤字段输入搜索词
- 选择按文件分组 (哈希)或按计算机分组
- 在右侧的窗格中,单击详细信息中的文件名或计算机名称以将其添加到搜索过滤器中
- 单击图形中指示软件更改时间的条块,以放大该时间段
搜索结果只会显示与所有条件都匹配的事件。如果您的搜索过滤器隐藏的结果过多,要移除一个搜索词,请单击搜索词旁边的 X 按钮。如果需要更多信息才能决定要允许还是阻止,请单击软件名称,然后使用右侧的详细信息面板。
如果计算机具有太多软件更改,则处于性能考虑,应用程序控制将继续强制执行现有规则,但会停止检测和显示软件更改。要解决此问题,请参阅在发生太多软件更改后重置应用程序控制。 -
单击允许或阻止以在该计算机上添加针对该路径中的该软件版本的允许规则或阻止规则。
(或者,也可以在检测到该软件的所有文件系统路径和计算机中允许或阻止该软件,方法是单击全部允许或全部阻止。如果意外选择了不正确的处理措施,请参阅撤消阻止和允许的软件。)
更改允许规则或阻止规则时,所做更改会影响使用同一个规则集的所有计算机。下次客户端与趋势科技服务器深度安全防护系统管理中心(本地规则集)/中继(共享规则集)连接时,它会接收新规则。(如果计算机使用了通过 API 创建的共享允许规则或阻止规则,则当使用共享规则的其他客户端下次与中继连接时,中继还会将新规则传输到这些客户端。)成功后,状态会指示规则集更新未决。所需时间因以下因素而异:
- 波动信号间隔和双向通信
- 文件数
- 计算机的磁盘速度和 CPU 速度(仅限本地规则集)
- 带宽(仅限共享规则集)
- 路由器数量、防火墙数量或这两者之间具有有限系统资源的代理服务器的数量(仅限共享规则集)
- 通过中继部署规则集(仅限共享规则集)
如果规则集上传不成功,请验证客户端和趋势科技服务器深度安全防护系统管理中心或中继之间的网络设备是否允许波动信号端口号或中继端口号上的通信。
-
要验证规则是否正常工作,请尝试运行刚才阻止的软件。要匹配规则,软件必须位于相同位置中,并且必须具有相同的哈希、路径和文件名。
如果由于选中了在显式允许之前阻止无法识别的软件并且无法识别软件而意外阻止(或允许)该软件,则应用程序控制事件日志中的原因列可帮助您查找原因。 -
如果仍安装已阻止的软件,则应用程序控制仍会记录日志并在阻止该软件运行时显示警报。
要缩小计算机的攻击面并减少权限错误日志,请卸载应用程序控制正在阻止的软件。在此操作完成后,如果您想解除相关警报,请转至警报或转至控制台,单击“警报”,然后单击解除警报按钮。并非所有警报都可以解除。有关更多信息,请参阅预定义的警报定义。
示例:应用程序控制中的“全部允许”
如果在使用本地规则集的 3 台计算机上检测到 helloworld.py
,则当您单击全部允许或全部阻止时,所做更改只会影响这 3 台计算机。所做更改不会影响未来对其他计算机执行的检测,因为这些计算机使用自己的规则集。
但是,如果在使用 3 个不同的共享规则集的 3 台计算机上检测到 helloworld.py
,并且另外 297 台计算机也使用这 3 个规则集,则当您单击全部允许或全部阻止时,趋势科技服务器深度安全防护系统管理中心会将规则更改上传到总共 300 台计算机。 该规则更改还会影响将来使用相同的共享规则集的计算机。
允许软件更新
当您安装 Patch 以及升级软件或部署 Web 应用程序时,应用程序控制会对其进行检测。根据您针对如何处理无法识别的软件所配置的设置,在您通过操作选项卡创建允许规则之前,此选项会阻止该软件。对于任务关键型软件,此服务中断可能是不可接受的。此外,您可能不希望在预期的预设软件更新(例如 Linux 升级)期间收到许多警报。
要避免部署时段和维护时段期间需要额外的停机时间和出现额外的警报,您可以将应用程序控制置入专为维护时段设计的模式。当启用维护模式时,应用程序控制会继续阻止被列入黑名单的软件,但会允许运行新的或已更新的软件,并自动将其添加到允许规则中。
可以通过“计算机”选项卡上的“操作”或(如果仅对几台计算机)每台计算机的计算机编辑器启用或禁用维护模式。
-
在趋势科技服务器深度安全防护系统管理中心中,转至计算机(而非“策略”选项卡)。
-
选择一台或多台计算机,然后单击操作 > 打开维护模式。
-
选择维护时段的持续时间。
维护模式会在维护时段的预设结束时间已到时自动禁用其自身。或者,如果要在更新完成后手动禁用维护模式,您可以选择不自动关闭的选项(“无限期保持开启”)。
如果维护模式设置为无限期保持开启,请记得在更新完成后手动禁用它。如未执行此操作,可能会允许用户或攻击者安装并运行新软件(包括零时差恶意软件),而且该软件会自动添加到允许规则中。趋势科技服务器深度安全防护系统管理中心会立即尝试向客户端发送命令。不必单击“保存”。状态和维护模式控制台 Widget 会指示命令是否已成功。
-
安装或升级软件。
如果该计算机使用了共享允许规则或阻止规则,则当客户端下次连接到趋势科技服务器深度安全防护系统管理中心时,它会上传新规则。下次建立连接时,趋势科技服务器深度安全防护系统管理中心会将这些新规则传输到其他客户端。所需时间因以下因素而异:
- 如果选择了手动禁用维护模式,请记得禁用维护模式以便再次开始检测软件更改。
-
如果执行了安全更新,请验证所有计算机是否均已更新(所有计算机都不具有旧的、不安全的软件)。
如果计算机使用共享规则集,请转至策略 > 规则 > 应用程序控制规则集,然后双击该规则集。找到旧的、不安全的软件的允许规则,并将其操作更改为阻止。这样可防止在意外重新安装了不安全的软件时运行该软件。
重新使用其他计算机上共享的允许或阻止规则
如果您已使用 API 来创建共享允许规则或阻止规则,则可以将这些规则集应用到其他计算机。当您有许多相同的计算机(例如,负载平衡 Web 服务器场)时,此功能很有用。
-
使用 API 生成计算机的共享允许规则和阻止规则。有关更多信息,请参阅 API 文档。如果要在部署共享规则集前对其进行检查,请参阅查看应用程序控制规则集。
-
在“规则集”部分中,取消选中继承设置(如有必要),然后选中使用共享规则集。指示要使用的共享规则。
在使用 API 创建至少一个共享规则集之前,这些设置是隐藏的。如果您尚未创建任何共享规则集,或者如果您保留了缺省设置,则每台计算机会在本地保留各自的允许规则和阻止规则。对本地规则进行的更改不会影响其他计算机。
-
单击保存。
当下次计算机上的趋势科技服务器深度安全防护系统客户端与趋势科技服务器深度安全防护系统管理中心连接时,客户端将应用这些规则。所需时间因以下因素而异:
从共享更改为特定于计算机的允许规则和阻止规则
如果计算机当前使用通过 API 创建的共享允许规则或阻止规则,您可以将该计算机更改为使用本地规则。应用程序控制将扫描所有当前安装的软件的文件系统并为其创建初始规则集,此过程与首次启用应用程序控制时相似。
以下步骤可将计算机的客户端配置为使用本地规则集。如果希望所有计算机(例如数据中心,其中每个服务器托管不同的应用程序)使用本地规则,请改为在策略选项卡中编辑设置。
-
转至计算机编辑器要打开计算机编辑器,请转至“计算机”页面并双击要编辑的计算机(或者选择计算机并单击“详细信息”)。 > 应用程序控制。
-
在“规则集”部分中,取消选中继承设置(如有必要),然后选中使用最初基于已安装的软件的本地规则集。
-
单击保存。
要验证更改,请在下次客户端与趋势科技服务器深度安全防护系统管理中心建立连接时查找有关生成应用程序控制规则集的事件日志消息。所需时间因以下因素而异:
在发生太多软件更改后重置应用程序控制
应用程序控制设计用于为软件软件更改管理流程提供辅助,但不适用于持续发生大量软件更改的不受管制的计算机。
太多更改会生成占用更多 RAM 的大型规则集(除非您在每次发生更改时移除旧规则)。如果您在未经授权的软件更新期间不使用维护模式,则太多更改还会导致管理员工作负担太重,因为那样他们必须手动创建允许规则。
如果无法识别的软件更改超过最大数量,则应用程序控制将停止检测和显示计算机的所有软件更改。这样可防止意外地或恶意地对稳定性以及性能造成影响:占用太多内存、磁盘空间和网络带宽(对于共享规则集)。
如果出现这种情况,趋势科技服务器深度安全防护系统管理中心会通过警报和事件日志通知您。您必须先解决问题才能继续检测软件更改。
-
检查计算机的进程事件和安全事件。验证计算机是否已受到危害。
如果您不确定或没有足够时间,则最简单快速的方法是从备份或 VM 快照恢复系统。
如果不移除任何未经授权的软件(包括零时差恶意软件),则在重置应用程序控制后,应用程序控制会忽略该软件。该软件将不再显示在“操作”选项卡上,如果已执行其进程并且该软件正在使用 RAM,则在重新启动计算机之前,应用程序控制不会记录有关该软件的任何事件或警报。 - 如果计算机正在运行软件更新(包括自动更新,例如浏览器、Adobe Reader 和 yum 更新),请禁用或预设这些更新,以使它们仅在已启用应用程序控制的维护模式时进行。
-
重置应用程序控制。要执行此操作,请禁用应用程序控制。当客户端已确认并清除了错误状态后,重新启用应用程序控制。
系统会重新生成本地规则集,并重新下载共享规则集。