一�、認(rèn)識科摩多防火墻中的Defense+功能
(一)Defense+ ,是一個(gè)本機(jī)入侵防御系統(tǒng)�,他不斷的監(jiān)視獲得進(jìn)程的工作。當(dāng)Defense+ 功能開啟時(shí)���,用戶隨時(shí)可以獲知未知進(jìn)程嘗試啟動(dòng)
(.exe, .dll, .sys, .bat etc) �����。而實(shí)際上�,只有您對未知進(jìn)程授權(quán)后�,才能真正啟動(dòng)運(yùn)行。
(二)Defense+ 功能對于防止竊密也是有效的�,亦可防止由多種緩沖區(qū)溢出攻擊造成的計(jì)算機(jī)崩潰或系統(tǒng)損壞。
(三)Defense+
功能運(yùn)行在一個(gè)很高的安全級別上��,因此可以洞察任何可能存在的內(nèi)核級后門��,內(nèi)存注入��,鍵盤記錄等��。它能在病毒和木馬產(chǎn)生破壞前阻止其運(yùn)行���,可保護(hù)注冊表和系統(tǒng)文件不會被任意修改�。
二、Defense+設(shè)置
(一)“Defense+設(shè)置”中的“一般設(shè)置”:
在一般設(shè)置中可以設(shè)置“Defense+安全級別”�,Defense+ 安全級別分為:禁用、學(xué)習(xí)模式����、干凈PC模式、安全模式����、瘋狂模式。Defense+
安全級別的默認(rèn)設(shè)置是安全模式����。
(二)“Defense+ 設(shè)置”中的“可執(zhí)行控制設(shè)置”
在可執(zhí)行控制設(shè)置中,啟用“可執(zhí)行鏡像控控制級別”�,可以在可執(zhí)行文件未經(jīng)許可的情況下���,加載到內(nèi)存前進(jìn)行攔截��。對于“無法識別的文件”的運(yùn)行可以進(jìn)行部分限制�、低權(quán)限級別、限制性級別、不信任級別�、阻止.
(三)Defense+ 設(shè)置中的“Sandbox設(shè)置”。
可以把無法識別應(yīng)用程序文件放在Sandbox中運(yùn)行.
(四)Defense+ 設(shè)置中的“監(jiān)視設(shè)置”
監(jiān)視設(shè)置中包含有行為監(jiān)控�����、對象修改監(jiān)控�、直接訪問對象監(jiān)控三個(gè)方面:
(01)行為監(jiān)控:
行為監(jiān)控分為:進(jìn)程間內(nèi)存訪問�����;進(jìn)程終止�;窗口或者事件鉤子;窗口消息�;設(shè)備設(shè)備驅(qū)動(dòng)程序安裝;DNS/RPC客戶端服務(wù)�。
(02)對象修改監(jiān)控:
對象修改監(jiān)控包含有:受保護(hù)的COM端口;受保護(hù)的注冊表鍵��;受保護(hù)的文件/目錄���。
(03)直接訪問對象監(jiān)控:
包含有內(nèi)存����、屏幕監(jiān)視器;底層訪問磁盤��;鍵盤�����。
三����、計(jì)算機(jī)安全規(guī)則設(shè)置:
計(jì)算機(jī)安全規(guī)則設(shè)置:包含有“Defense+
規(guī)則”,預(yù)定義規(guī)則�����、總是SANDBOX�;被攔截的文件、受保護(hù)的注冊表鍵�、受保護(hù)的注冊表鍵、受保護(hù)的COM接口�、信任軟件供應(yīng)商,共計(jì)八個(gè)方面的相關(guān)設(shè)置���。
(一)Defense+預(yù)定義規(guī)則設(shè)置:
預(yù)定義規(guī)則是科摩多防火墻程序的Defense+ 設(shè)置中預(yù)先定義應(yīng)用程序安全訪問控制規(guī)則:可以分為可信程序的Defense+預(yù)定義規(guī)則�;WINDOWS
系統(tǒng)應(yīng)用程序的Defense+預(yù)定義規(guī)則����;被隔離的程序的Defense+預(yù)定義規(guī)則��;被限制的應(yīng)用程序的Defense+預(yù)定義規(guī)則���。
(01)屬于可信任程序的預(yù)定義規(guī)則的相關(guān)設(shè)置:
可信程序的預(yù)定義規(guī)則,可以通過“編緝”按扭來展開��;單擊編輯按扭����,彈出“輸入預(yù)定義規(guī)則”名稱的設(shè)置窗口�,單擊其下的“自定義”按扭,就可以打開屬于可信程序范疇的Defense+預(yù)定義規(guī)則詳細(xì)設(shè)置的操作界面���。
Defense+預(yù)定義規(guī)則詳細(xì)設(shè)置:分為訪問權(quán)限和保護(hù)設(shè)置兩部分����;“訪問權(quán)限”決定了該應(yīng)用程序能對其它進(jìn)程進(jìn)行哪些操作�����,而“保護(hù)設(shè)置”定義其它進(jìn)程能對它進(jìn)行什么操作����。
訪問權(quán)限界面允許您定義在自定義規(guī)則中的應(yīng)用程序能執(zhí)行哪些行為����,這些行為被稱為“訪問名稱”
(02)WINDOWS
系統(tǒng)應(yīng)用程序的Defense+預(yù)定義規(guī)則設(shè)置方法的原理同上����。
(03)被隔離的程序的Defense+預(yù)定義規(guī)則設(shè)置方法的原理同上。
(04)被限制的應(yīng)用程序Defense+預(yù)定義規(guī)則設(shè)置方法的原理同上�����。
(二)應(yīng)用程序添加Defense+自定義規(guī)則設(shè)置:
應(yīng)用程序添加Defense+自定義規(guī)則的步驟和方法如下圖所示:
(三)無法識別的應(yīng)用程序或不信任程序在SANDBOX內(nèi)的添加與運(yùn)行:
(四)設(shè)置所要攔截的文件:
添加所要攔截的文件的方法如下圖所示:
(五)受保護(hù)的文件和文件夾的設(shè)置
(六)受保護(hù)的注冊表鍵
(七)受保護(hù)的COM接口:
(八)信任軟件供應(yīng)商的數(shù)字簽名的相關(guān)設(shè)置:
打開“計(jì)算機(jī)安全規(guī)則”下的“信任軟件服務(wù)商”的設(shè)置界面���,把科摩多應(yīng)用程序未自行添加的可信任服務(wù)商的數(shù)字簽名添加到可信任軟件供應(yīng)商的白名單數(shù)據(jù)列表中���。
方法:單擊“添加”按扭,顯示兩種途徑����,一是通過“從已經(jīng)被簽名的程序中讀取....”;另一種途徑是“從正在運(yùn)行的程序中讀取.....”�����。
