【IEP主机防护】【客户端】主机加固配置

孙奇发表于:2021年05月14日 10:18:50

主机加固配置

1    简介

         本篇主要介绍奇安信网神工业主机安全防护系统客户端主机加固模块的配置方法。

2    配置前提

         本文档适用于奇安信网神工业主机安全防护系统单机版,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以实际情况为准。

         本文档中的配置均是在实验室环境下进行的配置和验证,配置前,所有参数均采用出厂时的缺省配置。如果您已经进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

         本文档配置前提需要您已经安装部署完毕奇安信网神工业主机安全防护系统单机版/网络版客户端。

3    配置举例

3.1    主机加固

用户可对终端主机进行加固,其中包括“注册表保护”、“文件保护”和“数据执行保护”。如图所示:

图片.png

3.2    注册表保护

注册表保护具备独立的开启、关闭选项。当开启注册表保护功能时可设置具体的注册表项、值进行保护操作,如图所示:

图片.png

       例外进程:当配置好注册表保护的项和值后,同时可在受保护的注册表范围内再进行设置例外进程名、进程路径。场景举例:适用于客户软件需要修改受保护的注册表项和值的场景。如图所示:

图片.png

示例:

1、当开启注册表保护功能,在注册表内添加HKEY_LOCAL_MACHINE\SAM保护条目。

图片.png

2、在注册表HKEY_LOCAL_MACHINE\SAM下创建空项,提示拦截告警。

图片.png

3、点击【实时报警】和【日志审计】,在查询条件中选择“主机加固报警”进行查询,确认相关信息。

图片.png

图片.png

3.3    文件保护

文件保护具备独立的开启、关闭选项。当开启文件保护功能时可设置具体的文件、目录得到保护,如图所示:

图片.png

例外进程:当配置好文件保护的文件和目录后,同时可在受保护的文件范围内,再配置进程名、进程路径。场景举例:适用于客户软件需要向受保护的目录写入syslog文件的场景。如图所示:

图片.png

示例:

1、当开启文件保护功能,在文件保护项内添加C:\Users\Tesla\Desktop\123保护条目。

图片.png

2、在注册表C:\Users\Tesla\Desktop\123下创建111文件,提示拦截告警。

图片.png

3、点击【实时报警】和【日志审计】,在查询条件中选择“主机加固报警”进行查看,确认相关信息。

图片.png

图片.png

3.4    数据执行保护

数据执行保护具备独立的开启、关闭功能。如需配置生效需重启主机,同时开启之后可进行例外文件配置,如图所示:

图片.png

4    验证配置

1)   请查看示例内容。

5    注意事项

1)   网络版客户端需在控制中心登录界面下进行配置,否则客户端单独设置策略会被控制中心策略刷新。