LDMS简明使用手册主机入侵防护--zwl.docVIP

LDSS 8.8 简明使用手册 （安全套件） LANDesk Software (Beijing) 2008-4 目 录 1 主机入侵（HIPS）概述 1 1.1 主机入侵防护功能 1 1.2 主机入侵防护工作流程 2 1.3 支持的设备平台及要求 2 2 为设备配置 LANDesk HIPS 保护 3 2.1 通过代理配置为设备配置 LANDesk HIPS 3 2.2 单独的任务安装或更新LANDesk HIPS 4 2.3 从设备上删除 LANDesk HIPS 6 3 主机入侵防护的设置 7 3.1 HIPS设置说明 7 3.2 HIPS设置配置 8 3.3 HIPS模式设置 8 3.4 使用HIPS学习模式说明 9 3.5 HIPS文件认证设置 10 3.5.1 HIPS文件认证 10 3.5.2 配置文件认证 10 3.6 HIPS文件保护规则设置 11 3.6.1 HIPS文件保护规则 11 3.6.2 配置文件保护规则 12 4 主机入侵防护的客户端功能 13 4.1 在使用 LANDesk HIPS 配置的设备上执行的操作 13 4.1.1 LANDesk HIPS 客户端界面和用户操作 13 4.2 LANDesk HIPS 客户端和最终用户操作 14 5 主机入侵防护的服务器操作 14 5.1 查看 HIPS 操作信息 14 5.2 关于“主机入侵防护操作”对话框 15 5.3 关于“阈值设置”对话框（针对 LANDesk HIPS） 16 主机入侵（HIPS）概述 LANDesk? 主机入侵防护系统或 LANDesk HIPS 是一种安全管理工具。LANDesk HIPS 提供除了防病毒、防间谍软件、修补程序管理及 Windows 防火墙配置之外的另一层保护。LANDesk HIPS 可以让管理员具备保护系统的能力，使得企业网络系统在受到感染之前免受已知和未知的恶意软件攻击。由于 HIPS 是基于规则而非基于定义的系统，因此它可以更高效地保护系统免受零日攻击（在安装修补程序之前恶意地利用易受攻击的代码）。 LANDesk HIPS 可以主动监视进程、删除并防范恶意零日攻击，从而增强了 LANDesk Antivirus。HIPS 可以持续监视指定的文件、应用程序和注册表项，对未授权行为加以防范。您可以控制在设备上运行哪些应用程序以及它们的允许执行方式。HIPS 保护不同于漏洞检测和修补、间谍软件检测和删除或防病毒扫描，它不需要修补程序文件、定义/病毒码文件或病毒码数据库更新。根据满足您的环境和要求的自定义设置，LANDesk HIPS 提供连续的安全性。 LANDesk HIPS 客户端为管理员提供了一个强大的新工具，可以让他们控制哪些应用程序可在企业的台式机和服务器上运行以及它们的允许执行方式。 HIPS 客户端软件使用经过验证的试探法和行为识别技术来识别恶意代码的典型病毒码和操作。例如，尝试写入系统注册表的文件可能会被阻止并标记为“可能的恶意文件”。LANDesk HIPS 客户端采用各种专有技术，甚至在某个病毒码被识别前就能够可靠地检测出恶意软件。 主机入侵防护功能 HIPS 主动安全功能 提供内核级保护，阻止尝试修改机器上的二进制文件（或任何指定文件）或运行进程的应用程序内存的程序。它还可阻止对注册表某些区域的更改，并可以检测到 rootkit 进程。 采用内存保护，防止缓冲区溢出和堆溢出漏洞。 执行保护机制，防止攻击者在数据段内生成并执行代码。 监视未授权的或异常的文件访问。 提供计算机实时保护，而不依赖于病毒码数据库。 LANDesk HIPS 提供以下系统级安全性： 基于规则的内核级文件系统保护 注册表保护 启动控制 检测隐藏的 rootkit 网络过滤 进程与文件/应用程序认证 限制可执行文件对特定文件所能执行的操作的文件保护规则 主机入侵防护工作流程 以下步骤简要介绍了在 LANDesk 网络上实现 HIPS 保护所涉及的典型过程或任务。后面的部分将详细介绍所有的这些过程。 实施和使用 LANDesk HIPS 的基本步骤： 配置 HIPS 设置选项，例如：签码处理、保护模式、白名单（允许在设备上执行的应用程序）、文件认证、文件保护规则和最终用户交互式/选项以及 HIPS 设置。 针对 HIPS 保护配置受管设备（例如将 LANDesk HIPS代理部署到目标设备）。 在具有 HIPS 学习模式的设备上搜寻文件/应用程序行为。 在具有 HIPS 自动（阻止）模式的设备上实施 HIPS保护。 查看受保护设备的 HIPS 活动。 支持的设备平台及要求 LANDesk HIPS 支持 LANDesk Security Suite 的扫描和修补