检查规则主要分为终端插件检查规则和流量行为检查规则。实现终端插件检查规则时,终端需要安装准入插件,流量行为检测规则是通过检查流量实现,终端无需安装准入插件。
第一步:在[风险发现/PC基线检查/检查规则/终端插件检查规则],点击<新增>需要配置的检查规则。
第二步:填写规则名称和规则描述,规则类型可选中菜单里的规则类型,也可以直接在对话框内输入自定义的规则类型名称选择检查项配置,根据配置的检查规则选择需要检查的项,如下表可选。
:
当配置检查策略时,添加的规则类型就是在检查规则的类型输入的名称,因此建议规则类型需要填写跟该规则匹配,以便后续调用。
终端插件检查规则
表14终端插件检查规则检查项表
| 规则名称 |
检查项说明 |
| 杀软检查 |
检查的杀毒软件主要包括360杀毒、瑞星杀毒、金山毒霸、腾讯电脑管家、2345安全卫士、瑞星个人防火墙、小红伞、卡巴斯基、Avast、赛门铁克(SEP)、趋势杀毒软、诺顿杀毒软件、McAfee(MSC)、Windows Defender 微软杀毒、江民杀毒 、熊猫卫士、火绒互联网安全、大蜘蛛杀等。 |
| 登录域检查 |
必须登录到域;需要登录到指定域:可以自定义。 |
| 操作系统检查 |
Windows XP、Windows2003、Windows7、Windows8、Windows10 Windows2012R2、Windows2016、Windows Vista、Windows2008R2 Windows2008的部分操作系统,也可以根据版本进行选择。 |
| 进程规则 |
进程名称、窗口名称、程序路径。 进程状态:正在运行和没有运行。 高级条件:可设置匹配程序MD5值和匹配程序大小。 |
| 文件规则 |
文件路径:存放的路径。 文件状态:文件存在和文件不存在。 高级条件:设置匹配文件的MD5值、文件大小、更新日期比当前日期滞后的天数。 |
| 注册表规则 |
注册表项、表项名称、表项数据。 表项状态:有和没有。 |
| 计划任务规则 |
执行程序 1.输入程序路径或点击上传文件。 2.配置程序运行所需参数,与上面程序搭配使用。 |
| 执行计划 1.周期性运行:最小时间间隔为40秒。 2.运行一次:计算机上准入程序启动时运行。 |
|
| 执行权限 1.当前用户执行权限。 2.以SYSTEM用户权限执。 |
|
| 结果检查 1.不检检查返回结果。 2.检查返回结果。 |
|
| 补丁检测规则 |
按指定级别检测;按指定补丁检测;获取pc补丁信息识别时按违规处理 |
| 外联检查规则 |
拨号行为、有无线网口、双网卡行为、有4g网卡、连接外网、自定义外联、连接非法WIFI、使用非法网关。 |
| 外联控制规则 |
只能访问以下地址;不能访问以下地址。 |
| 外设管控规则 |
禁止使用的外设类型 存储设备、网络设备、蓝牙设备、摄像头、打印机。 精细化管控 U盘及移动硬盘接入:可读写、拒绝、可读、告警。 便携设备接入:允许、禁用、告警。 |
| Windows规则 |
禁止以计算机的超级管理员(隶属于Administrators组的账户)身份登录计算机,否则禁止该计算机上网。 |
| 防篡改检查规则 |
可设置不能修改MAC或IP。 |
:
1.操作系统检查:补丁包对Windows XP要求是SP2或以上,windows10可选择版本和无要求。
2.文件检查:规则只使用于同时配置条件的文件。
3.补丁包检测:该规则不支持Windows xp、Windows Server2003及其以下的操作系统版本;同时勾选按指定级别检测和按指定补丁检测时,其中任何一种方式检测出违规即为违规。
4.外联检查规则:其中连接非法WIFI和非法网关有白名单设置。
5.外设管控规则:windows xp系统和全线的家庭版系统没有组策略,不支持组策略的管控方式;精细化管控只支持win7及以上版本,不区分是否家庭版;精细化管控只针对usb接口的存储设备:u盘移动硬盘便携设备。
终端插件检查后违规处置
表15终端插件检查规则违规处置表
| 检查规则 |
违规处置 |
| 杀软检查 |
包括:禁止上网并提示用户、提示用户、违规修复、限制用户权限、自定义提示内容。 |
| 登录域检查规则 |
包括:禁止上网并提示用户、提示用户、只记录结果、限制用户权限、自定义提示内容。 |
| 操作系统规则 |
包括:禁止上网并提示用户、提示用户、只记录结果、自定义提示内容。 |
| 进程规则 |
禁止上网并提示用户、停止进程、提示用户、只记录结果、自定义提示内容。 |
| 文件检查 |
禁止上网并提示用户、删除文件、提示用户、只记录结果、自定义提示内容。 |
| 计划性任务规则 |
禁止上网并提示用户、删除该项、提示用户、只记录结果、自定义提示内容。 |
| 注册表规则 |
禁止上网并提示用户、提示用户、只记录结果。 |
| 补丁检测规则 |
提示用户、只记录结果。 |
| 外联检查规则 |
发送告警邮件、断网、自定义提示内容。 |
| 外设管控规则 |
白名单设置,可讲对应设备应将ID加入到白名单中。 |
| 防篡改检查规则 |
禁止上网并提示用户、恢复修改前地址并提示用户、提示用户、只记录结果。其中选择不能修改IP违规处置只能选择恢复修改修改前地址并提示用户。 |
第三步:配置违规后处置,根据不同的检查规则,选择相应的违规处置。点击<提交>检查规则即可配置完成。
第一步:在[PC基线检查/检查规则/终端插件检查规则],点击<组合规则>,点击<新增>一条组合规则。
第二步:填写规则名称和规则描述,规则类型可选中菜单里的规则类型,也可以直接在对话框内输入自定义的规则类型名称,该规则类型用于后续新增规则策略时调用。组合规则成立可选:所有规则成立和任意一个规则成立。
第三步:组合规则设定在待选规则里选中需要设置的规则,点击<添加>会添加到已选的规则中,如待选列表没有规则可选,在终端插件检查规则创建操作系统规则、进程规则、文件规则、注册表规则、计划任务规则、补丁包检测规则、windows账号规则。
第四步:违规后操作:禁止上网或提示用户、提示用户、只记录结果。也可以点击<编辑提示内容>自定义提示内容。
第五步:点击<提交>,组合规则配置完成。
:
组合规则功能只支持:操作系统规则、进程规则、文件规则、注册表规则、计划任务规则、补丁包检测规则、Windows账号规则。其他规则暂时不支持组合操作。
第一步:在[风险发现/PC基线检查/检查规则/流量行为检查规则],点击<新增>需要配置的检查规则。
第二步:填写规则名称和规则描述,规则类型可选中菜单里的规则类型,也可以直接在对话框内输入自定义的规则类型名称。
第三步:检查项配置可选个人版杀毒软件或企业版杀毒软件。个人版杀毒软件是设备已定义流量特征,企业版杀毒软都会有指定服务器地址,通过检查终端是否有流量来判断是否安装杀毒软件。
个人版杀毒软件
可选择检查的杀软有:360安全卫士以及杀毒、金山毒霸、火绒安全软件、腾讯电脑管家、小红伞、卡巴斯基、赛门铁克。
违规判定条件:根据不同的杀毒软件设置的默认时间进行检测是否有该杀软,填写时间不能小于默认值。
企业版杀毒软件
可选择检测的杀软有:EDR、360天擎、卡巴斯基、赛门铁克、自定义企业杀软。
违规判定条件:需要根据企业版杀软配置的更新频率来设置,(EDR默认超过1分钟未检测到该杀软即为违规,建议配置为5分钟),每个应用都有不同的最小默认值,用户配置必须大于默认值。
第四步:设置违规后处置可选择:只记录结果或定期重定向至指定网址修复,选择定期重定向至指定网址修复,需要配置重定向配置:重定向网址和重定向间隔时间。
第五步:点击<提交>,流量检测规则配置完成。
在[PC基线检查/检查规则],管理员对终端插件检查规则和流量行为检查规则进行删除操作、批量编辑、导入/导出等操作,组合规则仅支持删除和编辑操作。
表16检查规则管理功能说明
| 操作 |
功能说明 |
| 删除 |
在检查规则页面,选择终端插件检查规则、组合规则、流量行为检查规则,勾选需要删除,点击删除,设备会弹出一个操作确认框,点击<是>,则删除选中的规则。 |
| 编辑 |
在检查规则页面,选择[终端插件检查规则、组合规则、流量行为检查规则,勾选需要编辑的检查规则,点击检查规则名称,设备会弹出检查规则的编辑页面,修改检查策略,除了规则名称无法修改,其他设置项均可以进行修改。 |
| 批量编辑 |
批量编辑检查规则:勾选多个自定义的检查规则,可以批量修改检查规则的类型,点击批量编辑,则弹出[批量编辑]页面。注意批量编辑只能编辑检查规则的类型。 |
| 导入/导出 |
检查规则支持规则的导入导出,在[检查规则]页面,选择终端插件检查规则、流量行为检查规则然后勾选相应的规则,点击导出,即可将选中的规则导出, |
:
1.当已经被检查策略引用的规则,不能直接删除;如需要删除,需要先删除检查策略中引用到的规则。
2.内置的检查规则无法导出。
3.导入的规则文件一定要是zip格式的,而且导入的文件一定要包含IngressRuleExport.conf文件,IngressRuleExport.conf文件一定要在最外层。
建议使用Chrome浏览器访问!
