更新时间:2024-06-28
策略组管理为不同组制定安全策略,安全策略涵盖基本策略、病毒查杀、实时防护、勒索防护、信任名单、漏洞防护、桌面管控和品牌设置等安全策略。
打开[策略中心/策略组管理]设置不同组的安全策略,如下图。通过图中Windows系统、Linux系统、国产化桌面、国产化服务器不同标签切换配置不同系统终端安全策略。此章节以Windows终端为例介绍安全策略配置,其它系统终端可参考Windows终端配置。
Windows PC、Windows Server、Linux、国产化桌面和国产化服务器对各安全策略支持情况
安全策略
|
Windows PC
|
Windows server
|
Linux
|
国产化桌面
|
国产化服务器
|
基本策略
|
√
|
√
|
×
|
√
|
√
|
病毒查杀
|
√
|
√
|
√
|
√
|
√
|
高确信事件自动处置
|
√
|
√
|
√
|
√
|
√
|
文件实时监控
|
√
|
√
|
√
|
√
|
√
|
黑客工具防护
|
√
|
√
|
×
|
×
|
×
|
异常登录检测
|
√
|
√
|
√
|
×
|
×
|
异常扫描检测
|
√
|
√
|
√
|
×
|
×
|
webshell检测
|
×
|
√
|
√
|
×
|
×
|
勒索病毒防护
|
√
|
√
|
×
|
×
|
×
|
暴力破解检测
|
√
|
√
|
√
|
×
|
×
|
高级威胁防护
|
√
|
√
|
×
|
√
|
√
|
服务器可信进程防护
|
×
|
√
|
×
|
×
|
×
|
信任名单
|
√
|
√
|
×
|
×
|
×
|
隔离区管理
|
√
|
√
|
√
|
×
|
×
|
漏洞修复
|
√
|
√
|
×
|
×
|
×
|
“零”干扰漏洞免疫
|
√
|
√
|
×
|
√
|
√
|
违规外联
|
√
|
√
|
×
|
√
|
√
|
USB外设管控
|
√
|
√
|
√
|
√
|
√
|
广告弹窗拦截(基础版)
|
√
|
×
|
×
|
×
|
×
|
远程桌面二次认证
|
×
|
√
|
√
|
×
|
×
|
广告弹窗拦截(高级版)
|
√
|
√
|
×
|
×
|
×
|
问题软件安装防护
|
√
|
√
|
×
|
×
|
×
|
SSH服务管控
|
×
|
×
|
×
|
√
|
√
|
Agent自动降级机制
|
×
|
√
|
√
|
√
|
√
|
Agent性能保护
|
×
|
√
|
√
|
×
|
×
|
开发环境智能识别
|
√
|
√
|
×
|
×
|
×
|
3.6.1.1. 基本策略
通过基本策略,可以设置终端资产信息登记、管理员联系方式、弹框提醒、密码保护以及终端行为与日志信息采集等策略,具体配置方式如下。
终端资产信息登记
开启本选项后,受控终端需登记资产信息至平台,在策略中可对上报信息内容进行指定,内容包括责任人名称、资产名称、电话号码、邮箱地址、资产位置、资产编号及工号等信息,如下图所示。
配置完成后,终端可在系统消息中查看详情,并根据要求完成终端登记页面,如下图。
终端管理员联系方式
开启本选项后,终端用户可查看管理员联系方式,联系方式包括管理员名称、手机号及邮箱地址,如下图所示。
终端查看管理员信息,如下图所示。
终端弹框提醒(终端免打扰模式)
开启后终端发现各类异常安全问题后,将不再通过弹窗告知终端用户,配置界面如下图所示。
• 说明:
当点亮图中锁定图标,则禁止客户端修改此配置,如解除锁定,则客户端可自行变更此配置。
终端防护中心密码保护
终端防护中心密码保护设置可以设置终端Agent退出、卸载、加白名单文件时需要密码保护,如下图。
当开启终端“防退出”密码保护,终端退出时需要授权密码才可以退出,如下图。
当开启终端“防卸载”密码保护,终端卸载时需要授权密码才可以卸载,如下图。
当开启终端“加白文件”密码保护,终端加入信任文件时需要授权密码才可以加信任,防止文件被恶意加白,导致终端得不到aES安全保护,如下图。
• 说明:
此处终端“加白文件”密码保护只对Windows PC有效,Windows Server“加白文件”密码保护功能参考本手册[产品使用/策略中心/策略组管理/勒索防护/远程桌面二次认证]章节。
终端行为与日志信息采集设置
开启终端系统日志采集并上报:当配置aES与MSS联动时,启用此配置,Agent采集windows事件管理中安全日志并转发给MSS平台。
开启终端行为数据采集:采集的行为数据包括文件、进程、网络、注册表、DNS、计划任务和主机信息等,采集数据用于aES高级威胁能力以及aES与AF、SIP联动的部分功能。
开启终端行为数据上报:当AES与MSS平台或XDR平台联动时,启用此配置,可以将行为日志上报至MSS或XDR平台分析。
3.6.1.2. 病毒查杀
病毒查杀策略包括设置终端定时查杀、查杀扫描参数及终端病毒库升级等,具体配置方式如下。
定时查杀
通过定时查杀配置,可实现在指定时间内对内网终端进行查杀扫描,配置页面如下图所示。
定时查杀可以设置快速扫描和全盘扫描两种类型,每种扫描类型有极速、均衡、低耗三种扫描模式,主要区别在CPU占用率情况不同:
极速:全速扫描,不限制扫描软件自身的CPU占用率;
智适应:根据终端CPU使用情况进行动态调节,解决了终端CPU空闲时充分利用CPU提高扫描速度、终端CPU繁忙时降低杀毒CPU消耗保障终端业务不卡顿。
低耗:扫描时尽量少占用CPU资源,限制CPU占用率不超过10%。
查杀扫描
通过查杀扫描,可定义扫描文件类型、扫描文件、恶意文件处置机制以、设置扫描引擎以及资源占用控制等,配置界面如下图所示。
• 说明:
当点亮[查杀扫描]后锁定图标,则禁止客户端修改此配置,如解除锁定,则客户端可自行变更此配置。
文件类型:可选病毒查杀文件类型,包含文档文件、脚本文件、可执行文件、压缩文档、低风险文件。
• 说明:
1.压缩文档,当前支持7z、XZ、BZIP2、GZIP、TAR、ZIP、WIM等23种类型,点击压缩文档旁的说明符号“”,可以查看详细信息。
2.低风险文件,是经过分析筛选得出的风险极低的文件,建议不选中。病毒查杀时过滤42种低风险文件,提升扫描速度、降低SAVE引擎内存占用。低风险文件类型包括
.vmdk 、.iso、.lib、.a、.nsf、.pdb、.dmp、.db、.hdmp、.idb、.pch、.vdf、.pak、.evtx、.imd、.aac、.webm、.ntf、.cvd、.mof、.mdf、.mdb、.otf、.tlb、.jpg、.jfif、.jpeg、.jpe、.jp2、.png、.gif、.bmp 、.mp3、.mp4、.m4a、.mkv、.wmv、.wma、.tif、.tiff、.flv、.ogg
扫描文件:可配置扫描文件大小限制及扫描压缩包层级。
其他扫描设置:可配置U盘、移动硬盘、便携设备 (手机、数码相机等) 等设备插入后立即扫描,全程静默,扫描结束后提示用户。
发现威胁:发现威胁文件的处置机制,包括自动处置-业务优先、自动处置-安全优先和仅上报不处置三种处理方法,默认配置是自动处置-业务优先。
• 自动处置-业务优先:根据预置威胁判断机制,自动修复或隔离系统判断100%为威胁的文件,系统判断为可疑威胁文件不自动修复或隔离、仅将可疑威胁文件上报至管理端,由用户分析处置;
• 自动处置-安全优先:自动修复或隔离所有威胁文件,处置后的文件可在隔离区进行恢复,适用于严格保护场景;
• 仅上报不处置:不自动修复或隔离病毒文件,仅将被感染文件的信息上报至管控平台。适用于有人值守且用户了解如何处置不同的病毒威胁的场景。
引擎配置:病毒查杀主要提供了四种引擎,包括深信服SAVE人工智能引擎、基因特征引擎、行为分析引擎和云查引擎。不同引擎组合形成四种模式,包括标准模式、低误报模式、高检出模式、资源低耗模式和自定义模式,根据业务场景选择适合模式,如下图。
• 说明:
1.全新部署时,引擎默认配置为标准模式;
2.老版本升级时,引擎配置平滑转换为自定义模式;
3.高检出模式可能存在误报要高于其它模式,正常使用时不建议使用高检出模式,需要在工程师评估后确定是否使用高检出模式。
资源占用控制:当开启资源优化模式时,可以更大程度地限制aES对CPU的资源占用,可能会相对延长病毒扫描时间,适用于老旧电脑场景、桌面云场景、高负载场景等。
• 说明:
开启资源优化模式时,AES对CPU的资源占用情况如下:
1.极速模式限制CPU占用率不超过50%;
2.低耗模式限制CPU占用率不超过5%。
终端病毒库升级
通过终端病毒库升级配置,可定义终端病毒库的升级服务器,可选择为[从本控制中心升级]或从[启用多服务器升级]。如选择[启用多服务器升级],可以配置多个升级服务器,如下图所示,可以通过调整顺序设置终端病毒库从控制中心升级或深信服云端服务器升级。
3.6.1.3. 实时防护
通过实时防护策略,包括高确信时间自动处置、文件实时防护、黑客工具防护、WebShell检测、暴力破解检测和无文件攻击防护配置。
• 说明:
点击右侧图标,则禁止客户端修改此配置,如解除锁定,则客户端可自行变更此配置。
高确信事件自动处置
根据高级威胁检测的威胁会进行自动分析处置,排除操作系统核心进程和业务进程,进行自动结束进程处置操作。
勾选对应事件后,对“web入侵”事件、“钓鱼攻击”事件自动结束恶意进程。
文件实时防护
文件实时防护实时监控终端文件读、写、执行操作,防止恶意文件影响终端运行。配置如下。
其中:
防护级别:支持设置高、中、低三种防护级别,不同的防护级别对恶意文件的防护能力如下:
• 高:监控文件的所有操作方式,对电脑性能有一定影响;
• 中:监控文件的执行、写入,确保病毒无法入侵及运行,极少影响电脑性能;
• 低:监控文件的执行,确保病毒无法运行,不影响电脑性能。
文件类型:可选实时监控文件类型,包含文档文件、脚本文件、可执行文件、压缩文档、低风险文件。
• 说明:
1.压缩文档,当前支持7z、XZ、BZIP2、GZIP、TAR、ZIP、WIM等23种类型,点击压缩文档旁的说明符号“”,可以查看详细信息。
2.低风险文件,是经过分析筛选得出的风险极低的文件,建议不选中。病毒查杀时过滤42种低风险文件,提升扫描速度、降低SAVE引擎内存占用。低风险文件类型包括
.vmdk 、.iso、.lib、.a、.nsf、.pdb、.dmp、.db、.hdmp、.idb、.pch、.vdf、.pak、.evtx、.imd、.aac、.webm、.ntf、.cvd、.mof、.mdf、.mdb、.otf、.tlb、.jpg、.jfif、.jpeg、.jpe、.jp2、.png、.gif、.bmp 、.mp3、.mp4、.m4a、.mkv、.wmv、.wma、.tif、.tiff、.flv、.ogg
扫描文件:设置过大的或压缩层级较大的文件进行跳过不监控(绝大多数情况恶意文件都是较小的文件);
引擎配置:主要提供了四种引擎,包括深信服SAVE人工智能引擎、基因特征引擎、行为分析引擎和云查引擎。不同引擎组合形成四种模式,包括资源低耗模式、低误报模式、严格保护模式和自定义模式,根据业务场景选择适合模式,如下图。
• 说明:
1.全新部署时,引擎默认配置为资源低耗模式;
2老版本升级时,引擎配置平滑转换为自定义模式;
发现威胁:发现威胁文件的处置机制,包括自动处置-业务优先、自动处置-安全优先和仅上报不处置三种处理方法,默认配置是自动处置-业务优先。
• 自动处置-业务优先:根据预置威胁判断机制,自动修复或隔离系统判断100%为威胁的文件,系统判断为可疑威胁文件不自动修复或隔离、仅将可疑威胁文件上报至管理端,由用户分析处置;
• 自动处置-安全优先:自动修复或隔离所有威胁文件,处置后的文件可在隔离区进行恢复,适用于严格保护场景;
• 仅上报不处置:不自动修复或隔离病毒文件,仅将被感染文件的信息上报至管控平台。适用于有人值守且用户了解如何处置不同的病毒威胁的场景。
黑客工具防护
黑客工具防护可有效在黑客勒索攻击过程的防御规避阶段进行阻断,达到保障用户不受勒索的目的。
• 可疑驱动拦截:监控敏感时段可疑驱动装载、运行等行为,发现风险行为时进行提示和拦截。
• 黑客工具拦截:实时监控所有非授信驱动及黑客工具的装载、运行等行为,发现风险行为时进行提示和拦截。
WebShell检测
通过WebShell检测策略,可定义WebShell检测方式和发现WebShell后门的处理方式,配置如下。
其中:
检测方式:包括Agent首次安装后触发扫描、实时检测和定时检测三种检测方式。
• Agent首次安装后触发扫描:在首次安装后对网站根目录及其子目录进行检测扫描;
• 实时检测:针对于终端的每个新增文件进行实时的Webshell检测;
• 定时检测:针对于终端的所有文件定期进行Webshell检测。
发现WebShell:设置发现webshell后的处理动作,包括[自动处置]及[仅上报,不处置]两种方式。
自定义Web目录:设置webshell检测目录。默认检测web服务器所在目录,也可以检测自定义的Web目录。
• 说明:
WebShell检测对Windows Server和Linux生效。
暴力破解检测
暴力破解检测能够检测RDP、SMB、MSSQL、SSH暴力破解并拦截,其中Windows终端支持RDP、SMB 、MSSQL的暴力破解检测,Linux终端支持SSH暴力破解检测。
- Windows系统侧,配置界面如下图所示。
其中:
• 快速暴破阈值:可定义单分钟内联系爆破超过几次就定义为快速暴破,RDP快速暴破阈值填写范围为1-100,SMB快速暴破阈值填写范围为20-1000,而慢速暴破及分布式暴破类型会由系统按智能算法触发检测机制。
• 发现RDP/SMB/MSSQL暴力破解:可选择[自动封堵]或[仅上报,不封堵]的后续处置策略。
• 说明:
MSSQL爆破检测需要上开启登录成功审计功能,否则不能审计爆破成功记录,点击<点击查看开启方式>即可查看指引。
- Linux系统侧,配置界面如下图所示。
其中:
• 快速暴破阈值:可定义单分钟内联系爆破超过几次就定义为快速暴破,SSH快速暴破阈值填写范围为1-100,而慢速暴破及分布式暴破类型会由系统按智能算法触发检测机制;
• 发现SSH暴力破解:可选择[自动封堵]或[仅上报,不封堵]的后续处置策略。
异常登录检测
产品支持检测在非常用时间或通过非常用IP登录主机行为,并支持发现非常用时间/非常用IP登录后自动封堵功能。
支持RDP和SMB方式登录Windows终端(含PC)、ssh方式登录Linux终端异常登录检测。
无文件攻击防护
无文件攻击主要利用存在缺陷的应用程序,将代码注入到正常的系统进程(内存、注册表、powershell脚本、Office文档),进而获得访问权,并在目标设备执行攻击命令的一种高级攻击手段。通过无文件攻击防护,可对可疑的powershell脚本进行加测并处置,配置界面如下图所示。
其中:
开启可疑powershell脚本执行检测:需要同时开启文件实时防护策略,防护功能才可生效;
发现可疑powershell脚本执行:可设置为[自动阻断脚本执行]或[仅告警,不阻断]。建议默认设置为[仅告警,不阻断],当发现可疑powershell脚本执行时:
• 针对PC:对powershell脚本执行进行报警并挂起,由用户选择是否放行或阻断;
• 针对服务器:对powershell脚本执行进行报警但不挂起,由用户选择是否阻断或忽略。
弹出如下告警。
异常扫描
产品支持安装agent的终端主动扫描其他主机端口检测(主动扫描)与安装agent的终端被其他主机扫描端口检测(被动扫描)。
支持设置异常扫描的阈值,发现异常扫描除了上报外也支持自动封堵功能。
3.6.1.4. 勒索防护
勒索防护策略可以设置勒索诱饵防护策略、远程桌面二次认证和服务器可信进程防护。
勒索病毒防护
通过勒索病毒防护,可在终端操作系统关键目录下投放诱饵文件,当终端感染勒索病毒时,会先加密诱饵文件,aES客户端及时进行报警拦截,从而更早更及时地发现和清除未知勒索病毒,避免终端业务文件或业务文件被加密。在识别到可疑加密进程之后,对该进程部分文件修改或破坏操作进行实时备份,勒索病毒运行后,发现勒索行为前部分文件被加密的问题。最后提供一种兜底机制,在勒索病毒绕过现有病毒检测机制的场景下,仍然可以将文件和数据恢复至最近的某个时间对应的状态,最大化减少勒索病毒加密文件对业务的影响,形成立体化防护体系。
配置页面如下图所示。
其中:
• 开启勒索诱饵防护:需要同时开启文件实时防护策略,防护功能才可生效。
• 发现勒索行为:设置发现勒索病毒后的处置动作,建议设置[告警并人工处置],当终端发现勒索病毒时,电脑右下解会弹出如下图告警提示。
开启勒索备份缓解:当勒索诱饵防护开关开启时,才可开启备份缓解开关。
支持设置当发生勒索事件时,删除原始文件夹中被加密的文件并隔离文件,如取消勾选则被加密文件不做任何处置。
支持开启“恢复加密文件”密码保护
支持备份区存储管理配置:
a.单个文件大小范围设置-默认50MB(1-100MB整数)
b.备份区总空间大小设置-默认2000MB(1000-10000MB整数)
终端用户可以在agent上恢复历史加密文件。
远程桌面登录认证
RDP、SSH远程暴破登录是目前黑客攻击的常用手段之一,黑客可利用远程登陆控制服务器,进而进行勒索攻击等。为了保障您的业务安全,建议您开启此功能。
• 说明:
此功能仅支持Windows Server和Linux主机。
二次认证
防止黑客成功通过远程桌面登录服务器、轻松拿到服务器权限,可以设置认证方式为远程桌面登录二次认证。
Windows配置页面:
Linux配置页面:
设置认证方式为远程桌面登录二次认证后,当黑客成功通过远程桌面登录服务器时,aES对服务器进行锁屏保护,如下图,需要通过aES二次认证才能拿到服务器权限,从而保护服务器安全,建议认证方式选择此项。
2.远程桌面文件信任二次认证
防止黑客将病毒文件加入aES信任名单、并植入勒索病毒进行勒索,可以设置认证方式为远程桌面文件信任二次认证。
黑客成功登录服务器并尝试植入勒索病毒,由于服务器安装了aES进行保护,勒索病毒默认无法运行。如果黑客将勒索病毒加入信任名单,则可以成功植入勒索病毒并进行勒索。当认证方式设置为远程桌面文件信任二次认证后,黑客对文件加信任时,需要通过aES二次认证才可以加信任,避免了病毒文件植入,如下图。
该功能支持Windows及Linux系统。
认证密钥
- 验证码验证
验证码为管理员手机号码后6位,如15258227998,设置验证码为227998。打开[策略中心/策略组管理/基本策略],配置终端管理员联系方式,如下图。
• 说明:
建议认证密钥设置为验证码验证、且正确配置管理员手机号,服务器运维管理员可以通过公司通讯录或aES托盘获取管理员手机号,从而获得远程桌面二次认证验证码。
- 自定义密码验证
设置自定义密码验证后,服务器管理员是不知道该密码的,避免敏感时间段无法远程访问服务器,需尽快将自定义的密码通知到服务器管理员。
策略生效时间段
策略生效时间段设置远程桌面二次认证生效时间,默认是所有时间段生效。
免二次认证白名单
白名单内的IP在敏感时间段通过远程桌面登录服务器不需要远程桌面二次认证。访问服务器可信的电脑可以加入白名单。
可信进程防护
可信进程防护对服务器系统或服务器特定目录进行安全防护,只允许可信进程运行、读写操作,同时支持开启远程登录保护功能。
• 说明:
此功能只适用Windows Server、WindowsPC,不适用Linux系统。
场景一:终端系统防护
适用场景:
适用于保护运行稳定的终端系统,阻止不可信进程(如未知勒索病毒等恶意病毒)在服务器运行,从而达到保护服务器安全的目的。
配置步骤:
步骤1.服务器病毒查杀
先对终端进行病毒查杀,确认终端当前环境安全。
步骤2.进程学习
启用[可信进程防护],防护对象选择[PC或者Server系统],设置进程学习,学习时间范围从1天到30天可配,点击<保存>,如下图所示。
当学习完后可在页面查看已学习到的进程,并可查看进程鉴定情况,例如是否为可疑进程、该进程是否无签名等,为下一步可信进程确认提供参考。
步骤3.可信进程确认
进程学习结束,需要进行可信进程确认,可通过对进程学习结果进行分析,删除不可信的进程,对没有学习到的可信进程进行添加,配置界面如下图所示。
其中:
• 进程鉴定:AES对进程鉴定为可疑进程或者系统进程;
• 首次上报进程路径:即进程文件首次上报的路径;
• 添加方式:显示进程添加方式,有学习添加、手动添加和模板添加三种方式;
• 状态:进程当前状态,[未确认]指当前未进行可信进行确认;
• 操作:可以对进程进行删除、查看进程详情或进行进程分析操作。
其他说明:
1.如果发现需要添加的可信进程不在学习结果中,可点击<新增>进行添加,添加配置界面,如下图。
其中:
添加方式:进程人工添加方式有按模板导入、上传进程文件及手动输入进程文件信息3种添加方式。
• 按模板导入:适用于客户需要加固的服务器是模板中提供的web服务器或数据库服务器;
• 上传进程文件:上传服务器中可信的进程文件实现添加;
• 手动输入进程文件信息:收集可信进程的进程名、原始文件名、版权信息手动录入。
可信进程核对完成后,点击<确认进程>并完成可信进程确认。
步骤4.可信进程生效
点击<保存>后,可在页面查看到服务器防护生效中。
场景二:终端特定目录防护
适用场景:
适用于针对服务器的重要目录防护,避免重要目录及其文件被勒索病毒等进行非法篡改/获取。
配置步骤:
步骤1.服务器病毒查杀
先对服务器进行病毒查杀,确认服务器当前环境安全。
步骤2.添加服务器防护目录
启用[可信进程防护],防护对象选择[服务器特定目录],手动添加需要防护的服务器重要目录,目录添加格式支持*号通配符路径或系统环境变量。
步骤3.可信进程学习与确认
进程学习和可信进程确认与服务器系统防护场景一致,请参考“场景一:终端系统防护”进行配置即可。
当发现不可信进程时,可按如下方式进行处理。
其中:
• 禁止不可信进程对防护目录的操作:不可信进程无法对防护目录进行增删改,可以设置是否允许访问防护目录;
• 发现不可信进程对防护目录的操作:发现不可信进程操作防护目录时,可以设置阻止操作或阻止操作并结束进程运行。
3.6.1.5. 信任名单
包含暴力破解IP信任名单和Powershell运行参数白名单两部分。
暴力破解源IP加入信任名单
支持Windows终端或Linux终端暴力破解源IP加入信任名单。当发生暴力破解误报时,可以将源地址加入白名单,白名单中的IP地址会被放行、不告警不封堵。
• 防暴力破解IP白名单:支持填写IP/IP段/子网。当发生暴力破解误报时,可以将源地址加入防暴力破解IP白名单,白名单中的IP地址会被放行、不告警不封堵。
Powershell运行参数白名单
当有用到powershell命令编写的正常运维脚本时,需要将powershell运行参数加白,防止误报影响业务,如下图。
Powershell参数加白操作:检测到包含白名单运行参数的Powershell运行时,系统自动放行。Powershell运行参数支持部分字符串的匹配,如Powershell运行参数:powershell -ExecutionPolicy Restricted -Command Write-Host ‘Final result:1’可完整填写,也可以填写部分关键字段,如Command Write-Host ‘Final result:1’进行匹配。
不少于10个字符。
3.6.1.6. 安全通用配置
windows终端安全通用配置包括开发环境智能识别和隔离区管理。
开发环境智能识别
由于开发环境重要性及特殊性,存在大量的编译无签名文件,这些文件很容易引起杀毒软件误报,影响终端开发人员正常工作、甚至不愿意安装杀毒软件带来极大安全隐患。此功能可以智能识别开发环境、降低开发环境误报,保护开发环境安全。
开启开发环境智能识别后,智能识别检测终端是否存在编译软件、当检测到编译软件时弹窗提示用户确认是否为开发环境,如下图。
用户可选“开发环境”或“非开发环境”。
当用户选择为“非开发环境”时,按常规目录处理、按杀毒策略检测处置威胁。
当用户选择为“开发环境”后,终端[信任区/开发目录]自动新增智能识别的目录,AES对用户运行编码软件所产生的编译文件仅上报不处置、不弹窗,如下图。
用户也可手动添加或移除开发环境目录,如下图。
aES管理端[检测响应/病毒查杀/病毒列表]和[检测响应/查杀任务]详情新增“疑似开发环境标记”,管理员在管理端进行病毒处置时,环境类型过滤“其它环境”病毒进行处置,过滤“疑似开发环境”不处置、避免开发环境误报,如下图。
隔离区管理
备份设置:启用备份设置后,对宏病毒、感染病毒备份一份到隔离区再修复病毒文件。
空间设置:设置终端隔离区大小。
• 说明:
隔离区管理不支持macOS终端、国产化桌面和国产化服务器。
Agent自动降级机制
Windows Server主机、Linux主机、国产化桌面、国产化服务器均支持Agent自动降级机制。
客户端Bypass指Agent会实时监控终端资源,在一段时间内终端任一资源(CPU、内存、负载)平均使用情况达到或超过设置阈值时,Agent自动降级,以释放其占用资源,避免和业务抢占资源影响业务使用。当终端任一资源(CPU、内存、负载)平均使用情况都没有达到设置阈值,终端会自动恢复正常工作状态。
当客户端处于降级状态时,Agent会释放其占用的终端资源、且终端安全防护失效,终端降级状态如下图。
• 说明:
Agent自动降级机制适用于Windows server、Linux主机和国产化终端,对WindowsPC终端不生效。
Agent性能保护
进程达到配置的阈值则会自动重启,目的是限制Agent进程的资源消耗,避免抢占客户业务资源;进程的资源阈值配置只能在默认配置基础上往更大的值修改,当客户服务器资源充足时,可放大agent的进程配置,以便达到更快,更全面的检测效果。该功能支持Windows Server和Linux系统,暂不支持国产化系统及Windows PC系统。
3.6.1.7. 漏洞 防护
漏洞防护包含“零”干扰漏洞免疫(即轻补丁漏洞免疫)和实体漏洞补丁修复两部分。漏洞补丁管理方案采用以实体补丁为主、轻补丁为辅的管理方案。终端系统漏洞应优先通过实体补丁修复从根本上解决漏洞问题,同时开启轻补丁免疫功能,对于未及时修复实体补丁的漏洞(例如因实体补丁修复导致服务器重启影响业务、修复失败等原因未及时修复的情况),轻补丁可以保护终端免受漏洞攻击。
• 说明:
1.轻补丁功能支持Windows PC、Windows Server、国产化系统的漏洞防御;
2.实体补丁修复支持WindowsPC、Windows Server、国产化系统的漏洞修复。
3.详细系统支持列表可查看兼容性列表。
轻补丁漏洞免疫
轻补丁漏洞免疫介绍:“零”干扰漏洞免疫,也可称为“轻补丁漏洞免疫”,具备对业务系统“零侵害、无干扰”的优点,可在业务或终端正常运行的情况下进行免疫,防御流行的高危和0day漏洞利用攻击,无需重启或中断业务,不存在兼容性问题,过程轻量化,同时具备修复速度快、防御效果好等特性。
勾选“开启轻补丁漏洞免疫”,开启该功能。
“”表示禁止客户端设置;点击该图标,“”则表示允许客户端设置。
点击上图“兼容性说明”,兼容性说明如下图
当开启轻补丁漏洞免疫功能时,存在对应漏洞的电脑将会自动免疫。打开[风险评估/漏洞管理/加固与防御/轻补丁],如下图。
当终端不需要对某漏洞进行免疫时,如上图,选中漏洞,点击<取消免疫>。
轻补丁漏洞免疫效果
当终端检测到漏洞攻击时,成功拦截攻击并弹窗提醒如下图。
登录管理端,打开[检测响应/日志检索],选择轻补丁防护日志,如下图。查询最近一段时间轻补丁功能拦截漏洞攻击日志记录。
实体漏洞补丁修复
实体补丁修复指通过aES检测Windows/linux/国产化桌面/国产化服务器存在的漏洞,并通过AES下发修复策略(修复仅支持windows终端和国产化终端),终端无感知进行漏洞修复。
漏洞补丁安装生效重启设置
部分实体补丁安装完成,需要终端重启才生效。这里定义补丁安装后终端重启策略及通知内容,可以设置[强制终端安装补丁后立即重启]或[弹窗提醒终端用户重启]
打开[威胁检测/终端漏洞查补]进行漏洞检测与修复。检测到有补丁安装需要重启时,提示如下,管理员可选是否[根据漏洞补丁安装生效重启设置进行重启],如下图。
当管理员可选中[根据漏洞补丁安装生效重启设置进行重启],且重启策略设置为[弹窗提醒终端用户重启],则终端收到弹窗提醒如下图。
当管理员可选中[根据漏洞补丁安装生效重启设置进行重启],且重启策略设置为[强制终端安装补丁后立即重启],则终端收到弹窗提醒如下图。
漏洞扫描与补丁修复
勾选“开启定期自动扫描”,可以开启该功能,实现在指定时间段进行扫描。
其中:
• 定期漏洞扫描:定义漏洞定时检测的时间段。
• 漏洞扫描结果:定义发现系统漏洞后的处置方法,处置方法包括[扫描完自动修复]和[仅上报,不修复](推荐)。
• 终端补丁包获取服务器地址设置:定义终端下载漏洞补丁的服务器,默认是深信服CDN服务器、微软漏洞补丁服务器及本管理端。
隔离网场景实体漏洞修复
终端无法连接互联网、aES管理端可以连接互联网场景,此时终端无法从互联网服务器下载漏洞补丁包。点击图中<去设置>,跳转至[系统管理/系统设置/基本设置],如下图,选中“当终端无法从内置服务器下载补丁包时,允许管理端主动下载补丁包文件”,即可实现由管理端代理终端下载补丁包完成补丁修复。
• 说明:
1.当终端和管理端都没有互联网权限时,参考[系统管理/系统设置/系统工具]章节,通过离线工具下载漏洞补丁完成漏洞修复。
2.实体漏洞修复支持windows系统漏洞检测与修复,支持Linux应用漏洞检测,不支持自动修复Linux应用漏洞,支持国产化系统/应用漏洞检测与修复。
3.6.1.8. 桌面管控
桌面管控包括USB存储设备管控防护、终端违规外联防护、远程协助、广告弹窗拦截、问题软件安装防护、磁盘加密和SSH服务管控。其中磁盘机密和SSH服务管控只在国产化桌面生效,USB存储设备管控针对Windows、MacOS、国产化系统生效,其它桌面管控策略在Windows终端生效。
USB存储设备管控防护
未经授权的移动存储介质的接入可能会导致终端面临病毒、木马、数据泄密、数据篡改等多种安全威胁。通过aES管理端的USB存储设备管控防护功能,支持对包括U盘、移动硬盘、手机等移动设备在内进行禁用或白名单放行,并可设置终端弹窗告警提示终端用户,减轻终端用户因移动设备管控不足带来的风险。
在[策略中心/策略组管理/桌面管控]的页签下,勾选“开启USB存储设备管控”,则开启该功能。
支持对U盘&移动硬盘、便携设备(如收集、数码相机等)存储功能进行管控。
管控策略包括:
禁用:禁止USB设备使用
只读:设备不可写,可读,可运行设备内程序
阻止运行:设备不可写,可读,阻止运行设备内程序
告警:设备可读写,终端弹窗告警以及上报管理平台
不管控:设备可读写,无告警,不记录
当部分USB设备被允许使用时,可以通过外设白名单进行添加和配置,按需求填写设备信息,如下图所示。
数量较多时,也可以通过批量导入的方式导入白名单。
设置弹窗提醒
当勾选“发现终端使用禁止的设备,弹窗提醒用户”选项,在服务器或终端上使用禁止类设备时,会收到弹窗提醒,如下图。
• 说明:
USB外设管控防护同时支持windows终端、MAC终端、国产化终端。其中MAC终端下USB管控防护支持禁用USB设备或USB设备只读操作,国产化终端只支持禁用USB设备、不支持设置只读操作。
终端违规外联
当内网终端访问未授权的目标服务器时,视为违规外联。AES支持PING探测终端否存在违规外联行为,对存在违规外联的行为进行断网、关机、邮件告警等多种处置,实现违规终端的实时管控。
违规外联策略配置如下图。
其中:
- 探测间隔:终端检测违规外联的时间间隔,最小值为60秒,最大值3600秒。
- 探测地址:定义违规外联的探测地址,默认是www.baidu.com,管理员可以自己添加IP或者域名。
- 发现违规外联终端:定义发现违规外联的处理方法。
• 不处理:仅弹窗告警。
• 断开网络:终端倒计时30s断开网络,vista及以上系统的断开网络效果与终端隔离类似,终端除了与管理端通信之外,其他访问都不能访问,管理员可以在终端管理中重启agent恢复网络;server2003和xp是禁用网卡,需要用户手动启用网卡或者重启。
• 关机:终端倒计时60s关机。
- 违规外联提醒:如果终端发生违规,桌面右下角会出现弹窗提示用户违规,此处可设置提醒的内容。
- 邮件告警:当终端发生违规时,邮件告警通知管理员。
远程协助
当被管控的终端出现故障时,管理员可以通过远程协助功能对终端进行远程控制,快速、安全的响应解决终端问题。
前提条件
管理员能够远程管理终端的前提条件是终端Agent开启了[授权管理员远程],右键Agent客户端托盘图标,如下图。该功能默认打开,如果终端关闭了[授权管理员远程],则管理员无法通过aES远程协助管理终端。
场景一:不需要终端确认、直接远程终端电脑
不需要终端确认、管理员可以直接远程终端电脑,适用于终端无人值守场景。
打开[策略中心/策略组管理/桌面管控],设置需要远程控制的终端所在分组的桌面管控策略,如下图。[是否需要终端用户同意]选择[不需要]。
打开[资产管理/资产分组管理],选中需要远程的终端,发起远程协助,如下图。
首次使用远程协助时,需要下载VNC客户端远程工具 ,点击<立即下载>下载并安装VNC客户端远程工具,如下图。
安装VNC客户端远程工具后,再次对终端发起远程,如下图。
为了确认是管理员操作,需要输入当前管理员账号密码,输入管理员密码后点击<确定>,建立远程连接并成功远程被控制端电脑,如下图。
场景二:需要终端确认、才可以远程终端电脑
需要终端确认、管理员才可以远程终端电脑,适用于有人值守、对远程操作敏感场景。
打开[策略中心/策略组管理/桌面管控],设置需要远程控制的终端所在分组的桌面管控策略,如下图。[是否需要终端用户同意]选择[需要]。
打开[资产管理/资产分组],选中需要远程的终端,发起远程协助,如下图。
首次使用远程协助时,需要下载VNC客户端远程工具 ,点击<立即下载>下载并安装VNC客户端远程工具,如下图。
安装VNC客户端远程工具后,再次对终端发起远程,如下图。
终端电脑aES客户托盘弹出提示。
终端用户点击<允许>,管理员即可远程控制终端电脑。
为了确认是管理员操作,需要输入当前管理员账号密码,输入管理员密码后点击<确定>,建立远程连接并成功远程被控制端电脑,如下图。
• 说明:
1.只有admin管理员和安全管理员具有远程控制权限,整个通信过程加密。
2.远程协助默认使用随机端口远程被控制电脑,可以通过[系统管理/系统设置/基本设置]中的『远程协助端口设置』提前设置好固定端口,通过固定端口远程被控制电脑。
3.远程协助功能被远程终端支持win7/win10/xp /win8/win8.1/win 11系统。
广告弹窗拦截
终端大量软件为盈利自带广告弹窗功能,给用户的办公带来很大的干扰,尤其是教育、政府行业。aES能够对终端进行一键弹窗拦截,减少垃圾信息的干扰,为用户提供纯净的工作环境。
1.管理端开启广告弹窗拦截
打开[策略中心/策略组管理],点击[桌面管控],同时开启广告弹窗拦截(基础版)和广告弹窗拦截(高级版),如下图。
• 说明:
1.当点亮图中锁定图标,则禁止客户端修改此配置,如解除锁定,则客户端可自行变更此配置。
2.AES基础版授权具备广告弹窗拦截(基础版)功能,AES PC高级版、全功能版、服务器旗舰版、全功能版本具备广告弹窗拦截(高级版)。
2.终端开启广告弹窗拦截
用户也可以在终端开启广告弹窗拦截功能。打开客户端[系统工具]开启广告弹窗拦截基础版,如下图。
终端用户可在客户端[实时防护],开启广告弹窗拦截高级版,如下图。
3.广告弹窗拦截效果
当检测到广告弹时,记录拦截记录,如下图。
4.自定义广告弹窗拦截
当出现不能拦截的广告弹窗时,用户可以通过自定义规则进行弹窗拦截,如下图。
5.自定义广告弹窗不拦截
当某些被拦截的弹窗实际不需要拦截时,可通过如下配置取消该软件弹窗拦截,如下图。
点击<扫描>检索终端存在弹窗行为的软件,选中不需要拦截弹窗的软件设置为不拦截,如下图。
问题软件安装防护
问题软件安装防护能够拦截问题软件捆绑安装、静默安装、强行安装等不良行为,有效保护用户的知情权与选择权。
1.管理端开启问题软件安装防护
打开[策略中心/策略组管理],点击[桌面管控],开启问题软件安装防护,如下图。
2.终端开启问题软件安装防护
用户也可以在终端开启问题软件安装防护功能。打开客户端[实时防护]开启问题软件安装防护,如下图。
拦截问题软件安装:开启拦截问题软件安装,则匹配规则库中问题软件安装会弹窗告警提示用户,用户可选择阻止安装或允许安装。
拦截常规软件安装:开启拦截常规软件安装,则任何软件安装都会弹窗告警提示用户,用户可选择阻止安装或允许安装。
磁盘加密
此功能仅对国产化桌面生效。为防止磁盘文件泄密,新增提供磁盘加解密功能,能对国产系统的磁盘下发加解密、定时检测磁盘加密状态、磁盘信息展示的功能(一共三种加密模式:混合、AES256、SM4)来平衡用户当前的安全合规问题和业务运行效率
查看终端加密情况,选择确认进行加密
选择需要加密的磁盘分区,默认选择全部分区
对终端下发磁盘加密,终端会有弹窗提醒,点击[立即重启]后,终端会重启,然后进行加密,如下:
等待重启加密完成后,管理端的终端加密状态会变成[已加密,混合模式]状态
管理端对[已加密]状态的终端下发解密,如下:
对终端下发磁盘解密,终端会有弹窗提醒,点击[立即重启]后,会重启解密,如下:
等待重启解密完成后,管理端的终端加密状态会变成[未加密]状态
SSH服务管控
此功能仅对国产化桌面生效。启用SSH服务管控,则无法通过SSH接入国产化桌面终端,防止终端SSH接入被恶意利用,如下图。
终端检测到SSH接入请求会弹窗告警,如下图
3.6.1.9. 品牌设置
用户可以根据需求自定义产品品牌名称和品牌LOGO
平台品牌自定义
打开[系统管理/系统设置/品牌设置]自定义管理端品牌名称和LOGO,如下图。
修改管理端平台名称和上传管理端平台LOGO。
终端品牌自定义
打开[策略中心/策略组管理/品牌设置]设置自定义的终端品牌名称和LOGO,如下图。
修改终端名称,上传界面LOGO和桌面LOGO,效果如下图。