【服务器安全管理系统】【PC管理端】防护开关说明

Jack发表于:2020年09月15日 18:33:13

Windows系统防护开关说明




防护开关项名称

防护开关子项名称

开关说明

影响防护功能项

应用网络访问过滤开关


监控系统中进程发起网络行为动作的总控制开关

关闭后,“进程外连监控开关”,“进程监听端口监控开关”,
“进程外连控制开关”,“DNS解析监控开关” 四个子开关控制的功能同时失效

进程外连监控开关

监控系统中所有进程主动发起的TCP外连行为
(包括:发起外连的进程、连接的目标IP、域名、目标端口)
,并将这些信息以日志形式上报云中心记录

关闭后,不再监控进程外连行为,同时也不上报进程外连日志


进程监听端口监控开关

监控系统中所有进程的监听本地端口的行为,
(包括:发起监听端口动作的进程、本地监听的IP及端口信息)
,并将这些信息以日志形式上报云中心记录

关闭后,不再监控进程监听端口行为,同时也不上报进程监听端口日志


进程外连控制开关

阻止windows系统进程lsass.exe/spoolsv.exe/
wsmprovhost.exe以及它们所创建的子进程的主动外连动作,防止类似永恒之蓝
等内核漏洞被利用后通过注入系统进程,进而控制系统
的行为

关闭后,不再阻止这些进程外连


DNS解析监控开关

该开关打开后,会监控系统对外发起的DNS请求的回包内容,
然后从中解析出IP和域名的对应关系,
这样在监控进程外连行为时,可以根据外连的IP信息,动态关联出域名信息。

关闭后,不再对DNS请求回包数据进行解析


IP流量过滤开关


该开关为网络过滤驱动IP层流量过滤总开关,关闭后相当于IP层网络过滤功能bypass。

关闭后,“Asp模型流量过滤开关“子开关控制的功能同时失效。
影响的功能包括”流可视化和微隔离“、”防端口扫描“、”IP黑白名单“、”端口封闭“、”异常入站IP检测“,这些功能同时失效。

Asp模型流量过滤开关

该开关主要用于控制流可视化和微隔离功能

关闭后,”流可视化和微隔离“,”入站异常IP检测“功能失效


文件防护开关


该开关为文件过滤驱动总开关,关闭后相当于文件过滤驱动功能bypass

关闭后,“文件读取防护开关”、控制的功能同时失效
影响的功能包括:”文件监控与防护(防篡改)“、”自身文件防护“,“系统加固”中所有涉及到文件防护的功能,这些功能同时失效

文件读取防护开关

该开关为文件读防护开关,关闭该功能后,
对文件的所有读操作不再监控和防护

关闭后,"文件监控与防护“中读操作防护失效


进程创建监控开关

监控系统中所有进程的创建动作,监控的内容包括父进程、
被创建的子进程、子进程的启动参数等信息,
并将这些信息以日志形式上报云中心记录

关闭后,不再监控进程创建行为,同时也不上报进程创建日志


进程结束监控开关

监控系统中所有进程退出的动作,并将这些信息以日志形式上报云中心记录

关闭后,不再监控进程退出行为,同时也不上报进程退出日志


进程防护开关


该开关为进程防护开关

关闭后,影响的功能包括:操作系统加固中窃取系统内存密码、粘连键命令被篡改、对外服务进程执行危险命令、对外服务进程执行非正常扩展名可执行文件

注册表防护开关


监控系统中注册表相关访问操作,关闭后相当于驱动中注册表相关操作功能bypass

关闭后,“系统加固”中所有涉及注册表相关的防护功能失效


Linux系统防护开关说明




防护开关项名称

防护开关子项名称

开关说明

影响防护功能项

应用网络访问过滤开关


监控系统中进程发起网络行为动作的总控制开关

关闭后,“进程外连监控开关”,“进程监听端口监控开关”,
 两个子开关控制的功能同时失效

进程外连监控开关

监控系统中所有进程主动发起的TCP外连行为
(包括:发起外连的进程、连接的目标IP、域名、目标端口)
,并将这些信息以日志形式上报云中心记录

关闭后,不再监控进程外连行为,同时也不上报进程外连日志


进程监听端口监控开关

监控系统中所有进程的监听本地端口的行为,
(包括:发起监听端口动作的进程、本地监听的IP及端口信息)
,并将这些信息以日志形式上报云中心记录

关闭后,不再监控进程监听端口行为,同时也不上报进程监听端口日志


IP流量过滤开关


该开关为网络过滤驱动IP层流量过滤总开关,关闭后相当于IP层网络过滤功能bypass。

关闭后,“Asp模型流量过滤开关“和”DNS解析监控开关“ 两个子开关控制的功能同时失效。
影响的功能包括:”流可视化和微隔离“、”防端口扫描“、”IP黑白名单“、”端口封闭“、”异常入站IP检测“,这些功能同时失效。

DNS解析监控开关

该开关打开后,会监控系统对外发起的DNS请求的回包内容,
然后从中解析出IP和域名的对应关系,
这样在监控进程外连行为时,可以根据外连的IP信息,动态关联出域名信息。

关闭后,不再对DNS请求回包数据进行解析


Asp模型流量过滤开关

该开关主要用于控制流可视化和微隔离功能

关闭后,”流可视化和微隔离“,”入站异常IP检测“功能失效


文件防护开关


该开关为文件过滤驱动总开关,关闭后相当于文件过滤驱动功能bypass

关闭后,“文件读取防护开关” 开关控制的功能同时失效
影响的功能包括:”文件监控与防护(防篡改)“、”自身文件防护“、“命令审计”,系统加固中所有涉及到文件防护的功能,这些功能同时失效

文件读取防护开关

该开关为文件读防护开关,关闭该功能后,
对文件的所有读操作不再监控和防护

关闭后,"文件监控与防护“中读操作防护失效


进程创建监控开关


监控系统中所有进程的创建动作,监控的内容包括父进程、
被创建的子进程、子进程的启动参数等信息,
并将这些信息以日志形式上报云中心记录

关闭后,不再监控进程创建行为,同时也不上报进程创建日志

进程结束监控开关


监控系统中所有进程退出的动作,并将这些信息以日志形式上报云中心记录

关闭后,不再监控进程退出行为,同时也不上报进程退出日志

进程防护开关


该开关为进程防护开关,用于控制被保护进程防止被kill,以及被ptrace注入

影响的功能包括:命令审计