行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
行为管理AC13.0.62&12.0.62
{{sendMatomoQuery("行为管理AC","终端插件检查规则")}}

终端插件检查规则

更新时间:2023-06-05

第一步:[接入管理/终端检查/检查规则/终端插件检查规则],点击<新增>需要配置的检查规则。

第二步:填写规则名称和规则描述,规则类型可选中菜单里的规则类型,也可以直接在对话框内输入自定义的规则类型名称选择检查项配置,根据配置的检查规则选择需要检查的项,如下表可选。

当配置检查策略时,添加的规则类型就是在检查规则的类型输入的名称,因此建议规则类型需要填写跟该规则匹配,以便后续调用。

终端插件检查规则

表12终端插件检查规则检查项表

规则名称

检查项说明

操作系统检查

Windows XPWindows2003Windows7Windows8Windows10

Windows2012R2Windows2016Windows VistaWindows2008R2

Windows2008的部分操作系统,也可以根据版本进行选择。

进程规则

进程名称、窗口名称、程序路径。

进程状态:正在运行和没有运行。

高级条件:可设置匹配程序MD5值和匹配程序大小。

文件规则

文件路径:存放的路径。

文件状态:文件存在和文件不存在。

高级条件:设置匹配文件的MD5值、文件大小、更新日期比当前日期滞后的天数。

注册表规则

注册表项、表项名称、表项数据。

表项状态:有和没有。

 计划任务规则

执行程序

1.输入程序路径或点击上传文件。

2.配置程序运行所需参数,与上面程序搭配使用。

执行计划

1.周期性运行:最小时间间隔为40秒。

2.运行一次:计算机上准入程序启动时运行。

执行权限

1.当前用户执行权限。

2.SYSTEM用户权限执。

结果检查

1.不检检查返回结果。

2.检查返回结果。

补丁检测规则

按指定级别检测;按指定补丁检测;获取pc补丁信息识别时按违规处理

Windows规则

禁止以计算机的超级管理员(隶属于Administrators组的帐户)身份登录计算机,否则禁止该计算机上网。

1.操作系统检查:补丁包对Windows XP要求是SP2或以上,windows10可选择版本和无要求。

2.文件检查:规则只使用于同时配置条件的文件。

3.补丁包检测:该规则不支持Windows xpWindows Server2003及其以下的操作系统版本;同时勾选按指定级别检测和按指定补丁检测时,其中任何一种方式检测出违规即为违规。

终端插件检查后违规处置

表13终端插件检查规则违规处置表

检查规则

违规处置

操作系统规则

包括:禁止上网并提示用户、提示用户、只记录结果、自定义提示内容。

进程规则

禁止上网并提示用户、停止进程、提示用户、只记录结果、自定义提示内容。

文件检查

禁止上网并提示用户、删除文件、提示用户、只记录结果、自定义提示内容。

计划性任务规则

禁止上网并提示用户、删除该项、提示用户、只记录结果、自定义提示内容。

注册表规则

禁止上网并提示用户、提示用户、只记录结果。

补丁检测规则

提示用户、只记录结果。

Windows账号规则

禁止以计算机的超级管理员(隶属于Administrators组的帐户)身份登录计算机,否则禁止该计算机上网。


第三步:配置违规后处置,根据不同的检查规则,选择相应的违规处置。点击<提交>检查规则即可配置完成。