一���、認(rèn)識(shí)科摩多防火墻中的Defense+功能
(一)Defense+ ,是一個(gè)本機(jī)入侵防御系統(tǒng)��,他不斷的監(jiān)視獲得進(jìn)程的工作����。當(dāng)Defense+ 功能開(kāi)啟時(shí),用戶(hù)隨時(shí)可以獲知未知進(jìn)程嘗試啟動(dòng)
(.exe, .dll, .sys, .bat etc) ���。而實(shí)際上����,只有您對(duì)未知進(jìn)程授權(quán)后����,才能真正啟動(dòng)運(yùn)行。
(二)Defense+ 功能對(duì)于防止竊密也是有效的����,亦可防止由多種緩沖區(qū)溢出攻擊造成的計(jì)算機(jī)崩潰或系統(tǒng)損壞。
(三)Defense+
功能運(yùn)行在一個(gè)很高的安全級(jí)別上�,因此可以洞察任何可能存在的內(nèi)核級(jí)后門(mén),內(nèi)存注入��,鍵盤(pán)記錄等�。它能在病毒和木馬產(chǎn)生破壞前阻止其運(yùn)行,可保護(hù)注冊(cè)表和系統(tǒng)文件不會(huì)被任意修改�。
二、Defense+設(shè)置
(一)“Defense+設(shè)置”中的“一般設(shè)置”:
在一般設(shè)置中可以設(shè)置“Defense+安全級(jí)別”�,Defense+ 安全級(jí)別分為:禁用��、學(xué)習(xí)模式�����、干凈PC模式���、安全模式、瘋狂模式��。Defense+
安全級(jí)別的默認(rèn)設(shè)置是安全模式�����。
(二)“Defense+ 設(shè)置”中的“可執(zhí)行控制設(shè)置”
在可執(zhí)行控制設(shè)置中��,啟用“可執(zhí)行鏡像控控制級(jí)別”��,可以在可執(zhí)行文件未經(jīng)許可的情況下���,加載到內(nèi)存前進(jìn)行攔截���。對(duì)于“無(wú)法識(shí)別的文件”的運(yùn)行可以進(jìn)行部分限制、低權(quán)限級(jí)別���、限制性級(jí)別��、不信任級(jí)別��、阻止.
(三)Defense+ 設(shè)置中的“Sandbox設(shè)置”�。
可以把無(wú)法識(shí)別應(yīng)用程序文件放在Sandbox中運(yùn)行.
(四)Defense+ 設(shè)置中的“監(jiān)視設(shè)置”
監(jiān)視設(shè)置中包含有行為監(jiān)控�、對(duì)象修改監(jiān)控、直接訪問(wèn)對(duì)象監(jiān)控三個(gè)方面:
(01)行為監(jiān)控:
行為監(jiān)控分為:進(jìn)程間內(nèi)存訪問(wèn)��;進(jìn)程終止����;窗口或者事件鉤子;窗口消息����;設(shè)備設(shè)備驅(qū)動(dòng)程序安裝;DNS/RPC客戶(hù)端服務(wù)�。
(02)對(duì)象修改監(jiān)控:
對(duì)象修改監(jiān)控包含有:受保護(hù)的COM端口;受保護(hù)的注冊(cè)表鍵�;受保護(hù)的文件/目錄。
(03)直接訪問(wèn)對(duì)象監(jiān)控:
包含有內(nèi)存�����、屏幕監(jiān)視器;底層訪問(wèn)磁盤(pán)��;鍵盤(pán)�����。
三��、計(jì)算機(jī)安全規(guī)則設(shè)置:
計(jì)算機(jī)安全規(guī)則設(shè)置:包含有“Defense+
規(guī)則”�����,預(yù)定義規(guī)則��、總是SANDBOX�;被攔截的文件、受保護(hù)的注冊(cè)表鍵��、受保護(hù)的注冊(cè)表鍵����、受保護(hù)的COM接口、信任軟件供應(yīng)商���,共計(jì)八個(gè)方面的相關(guān)設(shè)置����。
(一)Defense+預(yù)定義規(guī)則設(shè)置:
預(yù)定義規(guī)則是科摩多防火墻程序的Defense+ 設(shè)置中預(yù)先定義應(yīng)用程序安全訪問(wèn)控制規(guī)則:可以分為可信程序的Defense+預(yù)定義規(guī)則;WINDOWS
系統(tǒng)應(yīng)用程序的Defense+預(yù)定義規(guī)則��;被隔離的程序的Defense+預(yù)定義規(guī)則�����;被限制的應(yīng)用程序的Defense+預(yù)定義規(guī)則��。
(01)屬于可信任程序的預(yù)定義規(guī)則的相關(guān)設(shè)置:
可信程序的預(yù)定義規(guī)則����,可以通過(guò)“編緝”按扭來(lái)展開(kāi)�;單擊編輯按扭,彈出“輸入預(yù)定義規(guī)則”名稱(chēng)的設(shè)置窗口���,單擊其下的“自定義”按扭�����,就可以打開(kāi)屬于可信程序范疇的Defense+預(yù)定義規(guī)則詳細(xì)設(shè)置的操作界面�����。
Defense+預(yù)定義規(guī)則詳細(xì)設(shè)置:分為訪問(wèn)權(quán)限和保護(hù)設(shè)置兩部分���;“訪問(wèn)權(quán)限”決定了該應(yīng)用程序能對(duì)其它進(jìn)程進(jìn)行哪些操作���,而“保護(hù)設(shè)置”定義其它進(jìn)程能對(duì)它進(jìn)行什么操作。
訪問(wèn)權(quán)限界面允許您定義在自定義規(guī)則中的應(yīng)用程序能執(zhí)行哪些行為��,這些行為被稱(chēng)為“訪問(wèn)名稱(chēng)”
(02)WINDOWS
系統(tǒng)應(yīng)用程序的Defense+預(yù)定義規(guī)則設(shè)置方法的原理同上��。
(03)被隔離的程序的Defense+預(yù)定義規(guī)則設(shè)置方法的原理同上�。
(04)被限制的應(yīng)用程序Defense+預(yù)定義規(guī)則設(shè)置方法的原理同上。
(二)應(yīng)用程序添加Defense+自定義規(guī)則設(shè)置:
應(yīng)用程序添加Defense+自定義規(guī)則的步驟和方法如下圖所示:
(三)無(wú)法識(shí)別的應(yīng)用程序或不信任程序在SANDBOX內(nèi)的添加與運(yùn)行:
(四)設(shè)置所要攔截的文件:
添加所要攔截的文件的方法如下圖所示:
(五)受保護(hù)的文件和文件夾的設(shè)置
(六)受保護(hù)的注冊(cè)表鍵
(七)受保護(hù)的COM接口:
(八)信任軟件供應(yīng)商的數(shù)字簽名的相關(guān)設(shè)置:
打開(kāi)“計(jì)算機(jī)安全規(guī)則”下的“信任軟件服務(wù)商”的設(shè)置界面�,把科摩多應(yīng)用程序未自行添加的可信任服務(wù)商的數(shù)字簽名添加到可信任軟件供應(yīng)商的白名單數(shù)據(jù)列表中。
方法:?jiǎn)螕簟疤砑印卑磁?�,顯示兩種途徑�����,一是通過(guò)“從已經(jīng)被簽名的程序中讀取....”�����;另一種途徑是“從正在運(yùn)行的程序中讀取.....”。
