一�����、認識科摩多防火墻中的Defense+功能
(一)Defense+ ,是一個本機入侵防御系統(tǒng)�����,他不斷的監(jiān)視獲得進程的工作�。當Defense+ 功能開啟時,用戶隨時可以獲知未知進程嘗試啟動
(.exe, .dll, .sys, .bat etc) �。而實際上,只有您對未知進程授權后��,才能真正啟動運行�����。
(二)Defense+ 功能對于防止竊密也是有效的�,亦可防止由多種緩沖區(qū)溢出攻擊造成的計算機崩潰或系統(tǒng)損壞。
(三)Defense+
功能運行在一個很高的安全級別上�,因此可以洞察任何可能存在的內(nèi)核級后門,內(nèi)存注入�����,鍵盤記錄等��。它能在病毒和木馬產(chǎn)生破壞前阻止其運行,可保護注冊表和系統(tǒng)文件不會被任意修改�����。
二��、Defense+設置
(一)“Defense+設置”中的“一般設置”:
在一般設置中可以設置“Defense+安全級別”��,Defense+ 安全級別分為:禁用��、學習模式�����、干凈PC模式�����、安全模式�、瘋狂模式。Defense+
安全級別的默認設置是安全模式�����。
(二)“Defense+ 設置”中的“可執(zhí)行控制設置”
在可執(zhí)行控制設置中�����,啟用“可執(zhí)行鏡像控控制級別”�����,可以在可執(zhí)行文件未經(jīng)許可的情況下��,加載到內(nèi)存前進行攔截�。對于“無法識別的文件”的運行可以進行部分限制、低權限級別��、限制性級別��、不信任級別�、阻止.
(三)Defense+ 設置中的“Sandbox設置”。
可以把無法識別應用程序文件放在Sandbox中運行.
(四)Defense+ 設置中的“監(jiān)視設置”
監(jiān)視設置中包含有行為監(jiān)控��、對象修改監(jiān)控�、直接訪問對象監(jiān)控三個方面:
(01)行為監(jiān)控:
行為監(jiān)控分為:進程間內(nèi)存訪問;進程終止��;窗口或者事件鉤子�����;窗口消息;設備設備驅動程序安裝�����;DNS/RPC客戶端服務��。
(02)對象修改監(jiān)控:
對象修改監(jiān)控包含有:受保護的COM端口�;受保護的注冊表鍵;受保護的文件/目錄��。
(03)直接訪問對象監(jiān)控:
包含有內(nèi)存��、屏幕監(jiān)視器�;底層訪問磁盤;鍵盤��。
三�����、計算機安全規(guī)則設置:
計算機安全規(guī)則設置:包含有“Defense+
規(guī)則”�,預定義規(guī)則、總是SANDBOX�;被攔截的文件、受保護的注冊表鍵��、受保護的注冊表鍵�����、受保護的COM接口�����、信任軟件供應商��,共計八個方面的相關設置��。
(一)Defense+預定義規(guī)則設置:
預定義規(guī)則是科摩多防火墻程序的Defense+ 設置中預先定義應用程序安全訪問控制規(guī)則:可以分為可信程序的Defense+預定義規(guī)則��;WINDOWS
系統(tǒng)應用程序的Defense+預定義規(guī)則��;被隔離的程序的Defense+預定義規(guī)則�;被限制的應用程序的Defense+預定義規(guī)則。
(01)屬于可信任程序的預定義規(guī)則的相關設置:
可信程序的預定義規(guī)則�����,可以通過“編緝”按扭來展開�����;單擊編輯按扭,彈出“輸入預定義規(guī)則”名稱的設置窗口�����,單擊其下的“自定義”按扭�,就可以打開屬于可信程序范疇的Defense+預定義規(guī)則詳細設置的操作界面。
Defense+預定義規(guī)則詳細設置:分為訪問權限和保護設置兩部分�����;“訪問權限”決定了該應用程序能對其它進程進行哪些操作�,而“保護設置”定義其它進程能對它進行什么操作。
訪問權限界面允許您定義在自定義規(guī)則中的應用程序能執(zhí)行哪些行為�,這些行為被稱為“訪問名稱”
(02)WINDOWS
系統(tǒng)應用程序的Defense+預定義規(guī)則設置方法的原理同上。
(03)被隔離的程序的Defense+預定義規(guī)則設置方法的原理同上��。
(04)被限制的應用程序Defense+預定義規(guī)則設置方法的原理同上�。
(二)應用程序添加Defense+自定義規(guī)則設置:
應用程序添加Defense+自定義規(guī)則的步驟和方法如下圖所示:
(三)無法識別的應用程序或不信任程序在SANDBOX內(nèi)的添加與運行:
(四)設置所要攔截的文件:
添加所要攔截的文件的方法如下圖所示:
(五)受保護的文件和文件夾的設置
(六)受保護的注冊表鍵
(七)受保護的COM接口:
(八)信任軟件供應商的數(shù)字簽名的相關設置:
打開“計算機安全規(guī)則”下的“信任軟件服務商”的設置界面,把科摩多應用程序未自行添加的可信任服務商的數(shù)字簽名添加到可信任軟件供應商的白名單數(shù)據(jù)列表中��。
方法:單擊“添加”按扭�,顯示兩種途徑,一是通過“從已經(jīng)被簽名的程序中讀取....”�����;另一種途徑是“從正在運行的程序中讀取.....”。
